Hash-Algorithmen: Buffer Overflows gefunden

**gullinews** · 24. 02. 2009, 16:29

Einige der Programme, die im Wettbewerb um einen neuen, sichereren Hash-Algorithmus eingereicht wurden, sind anfällig für Angriffe wie Buffer Overflows.

Der vom US-amerikanischen National Institute of Standards and Technology veranstaltete Wettbewerb soll einen Ersatz für die sich zunehmend als unsicher erweisenden aktuellen Hash-Algorithmen wie SHA-1 und MD5 finden. An dem Wettbewerb nehmen sowohl völlig unbekannte wie auch sehr namhafte Krypto-Experten teil.

weiterlesen

**t-time** · 24. 02. 2009, 16:59

Experten machen die weit verbreitete Benutzung der Programmiersprache C für die Häufung derartiger Sicherheitslücken verantwortlich. ... eine Unachtsamkeit des Programmierers reicht aus

Das ist ein Widerspruch. C ist doch nicht daran schuld, wenn der Programmierer, wenn auch unabsichtlich, einen Fehler macht.

**Annika_Kremer** · 24. 02. 2009, 17:01

Es gibt aber durchaus Sprachen, wo man eher Fehler macht bzw sich diese eher auswirken. Es geht nicht um Schuld, sondern um Risikovermeidung.

**janismac** · 24. 02. 2009, 17:19

Fehler bei der Speicher-Adressierung können dabei zu sogenannten Buffer Overflows führen, [...]

Ich glaub so vorsichtig muss man hier nicht formulieren...

Die meisten g:n leser dürften (auch wenn sie sich nicht genauer damit auskennen) sich etwas unter dem Begriff vorstellen können.

MfG janismac

**Mr.Harmlos** · 24. 02. 2009, 17:27

n pointer nicht zerstört ? ...

Ne im Ernst .. Wieder mal ein Beweis warum Quelloffene Software entscheidende Vorteile hat.

mfg

**musicjunkie** · 24. 02. 2009, 18:59

Zitat von Mr.Harmlos

n pointer nicht zerstört ? ...

Ne im Ernst .. Wieder mal ein Beweis warum Quelloffene Software entscheidende Vorteile hat.

mfg

aber total am thema vorbei ^^

**Anval** · 24. 02. 2009, 19:43

Zitat von musicjunkie

aber total am thema vorbei ^^

Äh ne.
Bei einer Kommerziellen Software dauert es viel länger bis so ein Fehler auffällt und vor allem bis er gefunden wird...

Anval

**9jsw** · 24. 02. 2009, 20:40

Zitat von Annika_Kremer

Es gibt aber durchaus Sprachen, wo man eher Fehler macht bzw sich diese eher auswirken. Es geht nicht um Schuld, sondern um Risikovermeidung.

Erstmal hat das ja nichts mit dem Algorithmus zu tun, wenn eine Implementierung fehlerhaft war. Dazu wäre ein derartiges Algorithmus ohne C-Implementierung praktisch wertlos und außerdem sind die Fehler ja jetzt kein Teufelszeug, die größten Probleme lassen sich mit den entsprechenden Tools sehr leicht finden.

Ich würde das ganze nicht so an C aufhängen, man kann ohne ein Hexer zu sein sehr sicheren C-Code schreiben und es ist eher peinlich für die Implementierungen der ganzen Sicherheitsexperten, wenn das hier nicht passiert ist.

**ADI64** · 25. 02. 2009, 10:42

Zitat von 9jsw

Ich würde das ganze nicht so an C aufhängen, man kann ohne ein Hexer zu sein sehr sicheren C-Code schreiben und es ist eher peinlich für die Implementierungen der ganzen Sicherheitsexperten, wenn das hier nicht passiert ist.

Ich würde nicht unbedingt die Sicherheitsexperten dafür verantwortlich machen.
Ihr Job ist es, Hash-Algos zu entwickeln und es ist doch schon gut, dass sie funktionierende (wenn auch nicht 100% sichere) C-Implementierungen präsentieren.
Ich würde die Programmierarbeit einem professionellen Coder überlassen, damit so etwas nicht passiert.
Aber es stimmt schon, mit C schleicht sich schneller eine Lücke bei der Speicherverwaltung ein als in anderen Sprachen.

**MirkoFon** · 25. 02. 2009, 11:12

Mhhhh, ich weiss nicht unbedingt wie mächtig statische Codeanalyse zu diesem Zeitpunkt ist, aber ich denke diese Memoryleaks hätten damit auf jeden Fall unterbunden werden können, schon allein durch einen check auf zuweisung und Grössenuntersuchungdes zugewiesenen Bereichs.

Meiner Meinung nach ist der Implementierungsfehler also auf Nachlässigkeiten in der Programmierung und mangelnde Codedurchsicht zurückzuführen, aber ich was solls, die Idee ist wohl eher das was zählt.

Fakt ist aber "Almost all software contains defects"

**Annika_Kremer** · 25. 02. 2009, 12:14

Zitat von MirkoFon

Meiner Meinung nach ist der Implementierungsfehler also auf Nachlässigkeiten in der Programmierung und mangelnde Codedurchsicht zurückzuführen, aber ich was solls, die Idee ist wohl eher das was zählt.

Klar, der Algorithmus selbst ist wichtiger, kommt ja auf die Idee an, denn bei der Umsetzung kann man nachbessern. Bleibt so ein Fehler allerdings unentdeckt, kann das wie gesagt ziemlich böse Folgen haben.