Mir geht gerade eine Sache durch den Kopf, die ich mal mit euch teilen will. Bei dem "Crypto-Hack" gerade wurde das so richtig offensichtlich.

Ich wettere seit Jahren, dass die Systeme um uns herum viel zu viel Komplexität haben. In der Softwareentwicklung werden völlig unbesorgt und unbedarft Abhängigkeiten ins Projekt gezogen, bis der Arzt kommt. Das Endprodukt ist immer häufiger von einer Komplexität, die alle Projektbeteiligten um Größenordnungen überfordert.

Ich finde, der Crypto-Hack zeigt gerade, wass das Ergebnis dieser Entwicklung ist.

Der Endboss ist nicht mehr der Überhacker, der Bugs ausnutzt. Der Endboss ist jemand, der sich die Zeit nimmt, sich in das System einzuarbeiten. Jemand, der die Dokumentation und/oder den Code liest. So wenig Zeit, wie sich die übliche Softwarefirma dafür nimmt, ein durchblickbares System zu bauen, bzw. überhaupt ein System, führt eben dazu, dass niemand das am Ende mehr durchblickt.

Wer sich die Zeit nimmt, die wir als Entwickler uns nicht genommen haben, kann unser System angreifen.

Anders formuliert wird eine Erkenntnis daraus: Je mehr Zeit wir in der Entwicklung sparen, desto weniger Durchblick haben unsere Entwickler, desto tiefer liegt die Schranke für einen Angreifer. Der muss das System ja nicht in Gänze verstehen, um es angreifen zu könne. Es reicht, wenn der einen angreifbaren Aspekt des Systems besser versteht als die Entwickler.

Wenn man sich anguckt, wie tief das Verständnis der Werkzeuge und der Umgebung bei typischem Code ist, dann ist das eine sehr tiefe Schranke.

Ich habe mich ja bei Shadowrun immer gefragt, wie die darauf kommen, dass wir in der Zukunft von hackbarer Software umgeben sein werden. Jetzt weiß ich es.

6/29/2020