>b's weblog

News. Journal. Whatever.

Apartment 6FDeutschlands geopolitische Interessen

Beobachtungen zu den CIA-Enthüllungen

  1. Security is not a single feature, rather the level of security one experiences needs to be thought of as an emergent property of the whole system. Communications security, for instance, is necessary but not sufficient. You also have to worry about the security of your devices, platforms, operating systems, and components. And the reliability of your communication partners.

  2. There is no such thing as privileged access for the good guys once there are more than a very small number of people involved. Sooner or later the privileged way to access information or hacks will either leak, be re-discovered independently by others, or be shared to parties that do not have your best interest in mind. In addition, systems built to take advantage of the privileged access will get broken and misused.

  3. All malware is just that, malicious software designed to disrupt or compromise other systems. And all will eventually leak. Secretly held knowledge of vulnerabilities makes us all less safe. The vulnerabilities will be exploited, perhaps traded or shared, instead of being reported and fixed. And when they leak out, they do damage to your friends as well as your supposed enemies.

  4. The security of our communications and applications matters a lot. Lives are at stake, not just your browsing history. Our entire societies run on top of our technical infrastructure, from hospitals and power plants to political processes and our economy. We cannot afford to compromise the security of these systems.

  1. «Sicherheit ist keine Einzeleigenschaft, sondern man muss sich den Grad an Sicherheit, den man erfährt, als emergente Eigenschaft eines Gesamtsystems vorstellen. Kommunikationssicherheit z.B. ist notwendig jedoch alleine nicht hinreichend. Man muss sich ebenfalls über die Sicherheit der Geräte Gedanken machen, sowie der Plattformen, der Betriebssysteme und der Komponenten. Und über die Zuverlässigkeit der Kommunikationspartner.

  2. So etwas wie einen privilegierten Zugang für die Guten kann es nie geben, wenn mehr als nur eine sehr kleine Zahl von Personen involviert ist. Früher oder später werden der privilegierte Zugang, um auf Informationen zuzugreifen, oder auch Hacks entweder leaken, unabhängig davon von anderen entdeckt werden oder aber mit Parteien geteilt werden, die nicht nur die besten Interessen verfolgen. Zudem werden Systeme fehlerhaft sein, die zum Erlangen eines privilegierten Zugangs entworfen wurden, sowie missbraucht werden.

  3. Jede Malware ist genau das, nämlich bösartige Software, die dafür entworfen wurde, andere Systeme zu stören und zu kompromittieren. Die Geheimhaltung von Sicherheitslöchern macht uns alle nur unsicherer. Solche Sicherheitslöcher werden ausgenutzt werden, und wohl auch gehandelt und verteilt, statt dass sie veröffentlicht und geschlossen werden. Und sobald sie bekannt werden, erzeugen sie denselben Schaden bei Freund und Feind.

  4. Die Sicherheit unserer Kommunikation wie auch die unserer Anwendungen spielt eine grosse Rolle. Es geht um Leben und Tod und nicht nur um die Browser-History. Unsere gesamten Gesellschaften basieren auf unserer technischen Infrastruktur, von Krankenhäusern und Kraftwerken bis zu politischen Prozessen und unserer Wirtschaft. Wir können es uns nicht leisten, die Sicherheit dieser Systeme zu gefährden.»

(Quelle: IETF Blog)