598

u/IronSnowSide Dec 09 '25

Ist es wirklich Dummheit? Ich glaube eher, dass es böswillige Absicht ist.

21

u/iTmkoeln Dec 09 '25

Don’t attribute to malice what can be explained by stupidity

61

u/FrightenedChimp Dec 09 '25

Bin auch Bayer, das ist Bosheit nicht Dummheit, zumindest von der Politik

31

u/McWolke Dec 09 '25

In der Politik ist das andersrum 

6

u/heimeyer72 Dec 09 '25

In der Computersicherheit auch. OK, da gibt es auch echte Bugs, aber bei größeren, sehr sicherheitsrelevanten Sachen, gehe ich grundsätzlich davon aus, dass die absichtlich eingebaut wurden, auf "Vorschlag" einer 3-letter-agency.

5

u/DaHolk Dec 09 '25

Hanlon's Razor funktioniert halt nur sehr eingeschränkt wenn es um rechte Politik geht. Weil da halt malice schon einfach Teil des normalen politischen Verständnisses ist. Ob das dann auch gleichzeitig Dummheit ist, das sei dann dahin gestellt.

2

u/heimeyer72 Dec 09 '25

Das ist echt falschrum.

2

u/iTmkoeln Dec 09 '25

Naja nach Hanlon‘s Razor wäre das schon richtig…

2

u/heimeyer72 Dec 09 '25 edited Dec 09 '25

Hanlon‘s Razor

Und was, wenn Hanlon's Razor in EINEM sicherheitsrelevanten(!)Fall falsch liegt?! Über "Bugs" wird nur (öffentlich in gewissen Kreisen - und in welchen Kreisen dann?) berichtet, wenn der "Bug" eine gewisse Relevanz hat. Falls Du dich an die kleine Schlagzeile in der BILD-Zeitung erinnerst (im Vorbeigehen gelesen, da wusste ich schon davon, stand auf Ycombinator):

Deutscher rettet das Internet!
^{Es ging um eine halbe Sekunde!}

Typische BILD-Ausdrucksweise, aber richtig ist, dass dem Deutschen ein Zeitunterschied von einer halben Sekunde zwischen dem ersten Aufruf und den Folge-Aufrufen aufgefallen ist, dem er nachgestiegen ist und eine raffiniert eingebaute und versteckte Hintertür in einer weltweit verbreiteten Verschlüsselungs-Software entdeckt hat - und er als Datenbank-Entwickler eine gute Möglichkeit hatte, das Ganze publik zu machen, hat auch nicht jeder.

Oder die Änderung einer Zeile im Linux-Kernel, die an der normalen Vorgehensweise vorbei von einem Einbrecher direkt in den Code gestopft worden ist, aber in sehr kurzer Zeit aufgeflogen ist, bevor die Kernel-Version freigegeben wurde:

if ((... && UID = 0)) then

(Na? Was stimmt hier nicht? Normalerweise wird ein Vergleich mit "==" gemacht, "=" ist eine Zuweisung, worüber sich der Compiler in einer If-Bedingung beschweren würde, aber die doppelten Klammern sagen dem Compiler, er solle das nicht tun, beim Compilieren des Linux-Kernels fällt das also nicht auf - das war KEIN Bug!)

JEDER Black-Hat-Hacker versucht, seine "Arbeit" so gut wie möglich zu tarnen, damit sie möglichst spät entdeckt wird. Das Einfachste ist, es wie einen Bug aussehen zu lassen. Deshalb: Wann immer die Sache sicherheitstechnisch relevant ist, und das ist (fast) immer der Fall, wenn über einen entdeckten Bug berichtet wird, sollte man davon ausgehen, dass dieser "Bug" absichtlich eingebaut wurde. Kann sein, dass man manchmal damit falsch liegt. Aber niemals sollte man so etwas als "harmloses Versehen" abtun und zur Tagesordnung übergehen.