Softwarekorruption - Versionsgeschichte

Am m Gst am 26. Februar 2022 um 00:02 Uhr

2022-02-26T00:02:40Z

@@ Zeile 1: / Zeile 1: @@
 [[Datei:Cooperation of software and hardware components.jpg|mini|Zusammenspiel von Software und Hardwarekomponenten]]
 Die absichtliche Verfälschung der Funktion oder das absichtliche Öffnen von Lücken in Individualsoftware oder kommerziell verkaufter Software wird als '''Softwarekorruption''' bezeichnet. Die Weitergabe an unautorisierte Benutzer ebenfalls. Das Phänomen existiert seit den 60er-Jahren, als begonnen wurde größere Pakete gemeinsam im Team zu erstellen. Dabei gelang es irgendwann heimlich, aber bewusst Fehler in das Gesamtpaket zu transportieren. Später wurden solche Handlungen zum lukrativen kommerziellen Geschäft der Schattenwirtschaft. Im Echtbetrieb ist nicht einfach unterscheidbar, ob ein Fehler durch systematische Ursache oder menschliches Versagen entstanden ist. Als die Massenanwendung durch Windows Softwareprodukte in die Haushalte brachte, kam man bald darauf, dass manche Produkte auch hier absichtliche Funktionsabweichungen enthielten, was liebevoll als Ostereier bezeichnet wurde. Im Zuge des Cyberkriegs wurden manche Ostereier mehr als das, nämlich eine gefährliche Waffe. Heute existieren bei Behörden und in großen Organisationen wie dem Gesundheitswesen unüberschaubare Systemarchitekturen, die mit Sicherheit sowohl Lücken als auch Verfälschungen enthalten. Die davon profitierenden Netzwerke sind jedoch verborgen und die Öffentlichkeit hat keine Kenntnisse darüber.
@@ Zeile 27: / Zeile 24: @@
 [[Kategorie:IT-Sicherheit]]

Am m Gst: 31 Versionen importiert: löschbedroht

2022-02-26T00:01:26Z

31 Versionen importiert: löschbedroht

← Nächstältere Version	Version vom 26. Februar 2022, 00:01 Uhr
(kein Unterschied)

91.20.9.9 am 25. Februar 2022 um 23:28 Uhr

2022-02-25T23:28:47Z

Neue Seite

<noinclude>
{{Löschantragstext|tag=25|monat=Februar|jahr=2022|titel=Softwarekorruption|text=[[WP:KTF|Begriffsetablierung/TF]], darüber hinaus weitgehend unverständlich (inklusive der Grafik). --[[Benutzer:Icodense99|Icodense]] 00:18, 25. Feb. 2022 (CET)}}
----</noinclude>
[[Datei:Cooperation of software and hardware components.jpg|mini|Zusammenspiel von Software und Hardwarekomponenten]]
Die absichtliche Verfälschung der Funktion oder das absichtliche Öffnen von Lücken in Individualsoftware oder kommerziell verkaufter Software wird als '''Softwarekorruption''' bezeichnet. Die Weitergabe an unautorisierte Benutzer ebenfalls. Das Phänomen existiert seit den 60er-Jahren, als begonnen wurde größere Pakete gemeinsam im Team zu erstellen. Dabei gelang es irgendwann heimlich, aber bewusst Fehler in das Gesamtpaket zu transportieren. Später wurden solche Handlungen zum lukrativen kommerziellen Geschäft der Schattenwirtschaft. Im Echtbetrieb ist nicht einfach unterscheidbar, ob ein Fehler durch systematische Ursache oder menschliches Versagen entstanden ist. Als die Massenanwendung durch Windows Softwareprodukte in die Haushalte brachte, kam man bald darauf, dass manche Produkte auch hier absichtliche Funktionsabweichungen enthielten, was liebevoll als Ostereier bezeichnet wurde. Im Zuge des Cyberkriegs wurden manche Ostereier mehr als das, nämlich eine gefährliche Waffe. Heute existieren bei Behörden und in großen Organisationen wie dem Gesundheitswesen unüberschaubare Systemarchitekturen, die mit Sicherheit sowohl Lücken als auch Verfälschungen enthalten. Die davon profitierenden Netzwerke sind jedoch verborgen und die Öffentlichkeit hat keine Kenntnisse darüber.

== Definition ==
Wenn einem Software-, Daten- oder Hardwareelement über den explizit vom Auftrag- und Gesetzgeber geforderten Funktionsumfang hinaus etwas absichtlich hinzugefügt oder etwas verfälscht wird, das zu einer heimlichen, widerrechtlichen Nutzung führt, spricht man von Softwarekorruption. Ebenso ist es korrupt, wenn Auftraggeber lügen und dadurch widerrechtliche Artefakte zustande kommen. Bei solchen Artefakten handelt sich um Methoden, Unterprogramme, Routinen, Funktionen, Paragraphen, Sektionen, Dateien, Tabellen, Zeilen, Firmware von Chips usw.

== Methode ==
Eine bekannte Methode ist das Einbauen eines Rucksacks, also eines Codestücks für besondere Fälle. Eine weitere besteht im Hinzufügen von Daten jenseits des vereinbarten Endes einer Datei. Es gibt auch spezielle Chips, die Varianten des Originals darstellen und z.B. in den physikalischen Eigenschaften abweichen, nämlich auf nur von Insidern erkennbare Weise. Täter sind Insider, die eine Abneigung gegen ihre Organisation haben, im Gegensatz zu Virenschreibern, die gegen weit entfernte Ziele kämpfen.

== Angriffsstellen ==
Eine ausgelieferte Software auf einem bestimmten Computer ist das Resultat einer Lieferkette von kleinsten Komponenten über Pakete bis zur fertigen Applikation mitsamt der Hardware. Entwickler bauen auf den Ergebnissen anderer auf und nutzen deren Komponenten im Objektcode ohne genau zu wissen, was der zugehörige Quellcode alles enthält. Bei der Zusammenstellung und Auslieferung kann ebenfalls Schadcode hinzugefügt werden. Man ist also auf vertrauenswürdige Lieferanten angewiesen und es gibt per heute, 2021, keinerlei Zertifikate für Lieferanten und deren Komponenten.

== Einzelnachweise ==
# Bei VW wurden nur zum Zwecke der Abgasmessung auf dem Prüfstand Rucksäcke eingebaut, die das Messverfahren unterlaufen ([[Abgasskandal]]).
# In der ''Computerwoche'' werden spektakuläre Fehler gelistet, die nicht alle zufällig gewesen sein können, siehe ''[https://www.computerwoche.de/a/zehn-spektakulaere-softwarefehler Rückblick 2013: Zehn spektakuläre Softwarefehler]'', 29. Mai 2014
# Wahlbetrug in den Vereinigten Staaten, siehe [https://www.wnd.com/2020/11/corrupted-software-used-30-states-including-swing-states Corrupted software used in 30 states including ALL swing states: Machines that stole 6,000 votes from Trump use Chinese computer parts], wnd.com, 7. November 2020
# Veränderung von Dateien auf Rechnern. siehe [https://us-cert.cisa.gov/ncas/tips/ST06-006 Security Tip (ST06-006): Understanding Hidden Threats: Corrupted Software Files], us-cert.cisa.gov Cyber Security & Infrastructure Security Agency, 9. März 2011, zuletzt aktualisiert am 27. September 2019
# Das klassische Beispiel sind aber [[Computerviren]], welche es in allen denkbaren Varianten gibt.
# Auch ein Renner sind einseitige Buchungen bei Banken und Versicherungen, siehe [https://gadget-info.com/difference-between-single-entry-system Unterschied zwischen Single Entry System und Double Entry System], gadget-info.com, 2019
# Exzessive Daten in [[JPEG|.jpg]]-Bildern oder [[MP4|.mp4]]-Videos, siehe [http://datamoshing.com/2016/06/15/how-to-glitch-jpg-images-with-data-corruption IMAGE, TUTORIALS: HOW TO GLITCH JPG IMAGES WITH DATA CORRUPTION], datamoshing.com, 15. Juni 2016
# aktuell wird die Weitergabe von ausgespähten Daten in falsche Hände diskutiert, siehe [https://www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-smartphone-101.html Spähsoftware: Wie "Pegasus" aufs Handy kommt], tagesschau.de, 18. Juli 2021,
# auch bei Behörden werden Daten korrupt, hier [https://de.wikipedia.org/wiki/Datei:Einfache_Melderegisterauskunft.pdf Einfache Melderegisteraufkunft.pdf] in Hamburg
# die Liste kann beliebig fortgesetzt werden

[[Kategorie:IT-Sicherheit]]