https://petapixel.com/2018/02/01/sonys-camera-firmware-updater-major-security-risk-expert-warns/#disqus_thread

klingt nicht gut :shock:

mfg / jolini

Verschwörungstheorien?

Aber das ist die Gretchenfrage (in dem thread (siehe link) ganz unten) :

"If you’d rather not trust Sony and place the security of your computer in the company’s hands, ..."

If.... trust ....

Als Sony user ist das eine echte Frage!
Und dazu kommt die Form meiner Internet und PC Aktivitäten als generelles Thema!
Woher loade ich die SW runter und installiere ich sie auf meine Kamera?
(Aber generell teile ich die Kritik an dem Sony Updater-Programm, dass sollte moderneren Standards angepasst werden, damit es einfach unserer schönen Zeit entsprechender gemacht ist.)

Liebe Grüße,
Georg

Das ist für mich jetzt der finale Grund das Lager zu wechseln. Ich werde meinen ganzen Sony-Kram verkaufen und mich vor dem Neukauf informieren, welcher Anbieter "sichere" Wege für Kamera-Updates anbietet.... Irgendwelche Empfehlungen?

Irgendwelche Empfehlungen?

Minolta!


Dat Ei

:D

Irgendwelche Empfehlungen?

Habe gestern grad meine Topcon RE Super erhalten. Die hat keine Anschlüsse für irgendwelche Firmware Updates. Die muss also sehr sicher sein :crazy:

Minolta!

Der ist gut:top:

Da bin ich doch froh das es für die "fast" gut funktionierende A99II mit 99 prozentiger Sicherheit kein Update mehr geben wird:cool:

Da bin ich doch froh das es für die "fast" gut funktionierende A99II mit 99 prozentiger Sicherheit kein Update mehr geben wird:cool:

A-Mount hat auch seine guten Seiten :noebv::crazy:

FG
Carlo

Schön und elegant ist das sicher nicht, was Sony da macht. Einen Alarm würde ich jetzt aber noch nicht ausrufen, denn es gibt noch keine Berichte darüber, dass tatsächlich Schadsoftware verbreitet wurde.

Mal im Ernst - da kann man nur den Kopf schütteln.

1.) Man schließt gängige Plattformen aus.
2.) Man erstellt Anleitungen, wie man Sicherheitsvorkehrungen seines Systems aushebeln soll.
3.) Man soll unnötigerweise Lücken reißen und Risiken eingehen.
4.) Man hat eh schon und bewiesenermaßen eine schlechte Expertise in puncto IT-Sicherheit.
5.) Man lässt den einfachen und in der Branche üblichen Weg links liegen.

Welch ein Aufwand, Ärgernis und Risiko für eine suboptimale Lösung!


Dat Ei

Man sollte keinen Hype daraus machen - oder ist etwa bekannt, dass diese jahrelang übliche Praxis von Sony missbraucht wurde?

Grundsätzlich ist aber das doch seltsame Verhältnis eines Elektronikkonzerns zu Firm- und Software zu bemängeln. Ausgerechnet ein Kameraanbieter, der noch bis vor kurzem eigentlich mehr im Computergeschäft beheimatet war denn auf dem Kamerasektor, leistet sich deutliche Schwächen. Ergonomie, Apps, Webpräsenz, Updatemodi usw. sind schwächer als beim Wettbewerb. Allein, wenn man bedenkt, dass für praktisch jede Sony-Linse jeweils ein Firmwareupdate in der Kamera gefragt ist...

Ausgerechnet ein Kameraanbieter, der noch bis vor kurzem eigentlich mehr im Computergeschäft beheimatet war denn auf dem Kamerasektor, leistet sich deutliche Schwächen.

Computergeschäft? Das war ein eher kleines Standbein. Sony kommt aus der Unterhaltungselektronik und Videotechnik.

Man sollte keinen Hype daraus machen - oder ist etwa bekannt, dass diese jahrelang übliche Praxis von Sony missbraucht wurde?


Da wird die Tür ja nicht nur für Sony sondern für alles was auf dem System ist aufgemacht, wenn ich das richtig verstehe. Was würde man sagen wenn einem Paketdienst eine Lieferabsprache zu umständlich wäre und er nur noch anliefert,wenn man Haustür offen stehen lässt?

Meine Lösung (weil ich für andere Lösungen wie Dualboot keine Lust habe):
Ich habe einen Notebook, auf dem nichts ist, dessen Diebstahl oder Verschlüsselung mir Kummer bereiten würde. Mit dem mache ich alle solche Sachen.

Hans

Computergeschäft? Das war ein eher kleines Standbein. Sony kommt aus der Unterhaltungselektronik und Videotechnik.

Wobei andere Standbeine (Smartphone, Smart-TV und Spielkonsolen) auch Expertise in der IT-Sicherheit verlangen. Eine Firma wie Sony sollte eine spezielle Abteilung haben, die sich nur mit diesen Themen beschäftigt...


Ich habe einen Notebook, auf dem nichts ist, dessen Diebstahl oder Verschlüsselung mir Kummer bereiten würde. Mit dem mache ich alle solche Sachen.

Wobei selbst das als Einfallstor in z.B. das Heim-Netz dienen könnte... Wahrscheinlich die beste Lösung ist einfach auf Updates für die Kamera verzichten, außer sie unbedingt sein.

Sorry, Doppelpost.

:cry::oops::oops:

War es nicht auch Sony, die vor Jahren die Installation eines "Rootkits" erforderlich machten, damit man Audio-CDs auf einem PC abspielen konnte?
Ich kann nicht verstehen, warum man Sicherheitsrichtlinien aushebeln muss, damit man auf einer Kamera die Firmware ersetzen kann :roll: very strange :evil:

Ich hab gerade mal das Firmware-Update 2.01 für die A6300 laufen lassen (Windows) und bin weder Administrator noch wurde ich um Administrator-Rechte gebeten. Das Sony-Root-Kit muss dann wohl schon bei einem früheren Update installiert worden sein;). Vielleicht macht ja jemand eine Gegenprobe mit einem "sauberen" System, wo noch keine Sony-Software ausgeführt wurde.

P.S. Hätte ich wissen müssen, dass der ganze ALARM nur MacOS betrifft:roll:?

Da kann ich Entwarnung geben:
Ich starte den Sony Firmware Updater jeden Morgen schon vor dem Frühstück. Er hat mir noch nie den Appetit verdorben! Also alles palleti. :P:top:

Das ist für mich jetzt der finale Grund das Lager zu wechseln. Ich werde meinen ganzen Sony-Kram verkaufen und mich vor dem Neukauf informieren, welcher Anbieter "sichere" Wege für Kamera-Updates anbietet.... Irgendwelche Empfehlungen?

und was sind die anderen Gründe?

Also da wird was altes, das nie zu einem Problem geführt hat, aufgewärmt.
Der ursprüngliche Blog über "Sony Firmware Updater: a Security Risk" ist vom November 2014, betraf das Apple OS und mittlerweile scheint Apple bei den Berechtigungen Änderungen vorgenommen zu haben, die dazu führen können, dass der Updater auf High Sierra nicht mehr läuft - "may not be able" ...

Dass das Programm auf Windows Administratorrechte braucht, ist nicht erstaunlich, das ist auch 2018 noch gang und gäbe, auch wenn's nicht immer nötig wäre. So what? Hat jemand jemals von einem Problem gehört, deswegen?

Ich vertraue Sony und werde die Updater, die ich direkt von der Sony https:// Homepage herunterlade, ohne den Hauch von Bedenken laufen lassen ...

Das ist wieder so eine Ente ... Sony hat eine sehr eigenartiges Firmware Update Conzept aus den NEX Zeiten. Da wird via USB ein iSCSI LUN zur Verfügung gestellt, die einfach Auto gemounted wird von der Kamera und dann die Kamera ein Shell Skript startet (quasi autostart)

Erhöhte Rechte braucht die Software deshalb ... weil da ein Treiber gestartet werden muss, der auf Kernel Ebene läuft! Das ist so! Der Autor hat prinzipiell nur bemerkt, da werden erhöhte Rechte gefordert ... hat absolut keine Ahnung was da wirklich passiert. Für mich ist das nur eine Panikmache um ein Artikel zu schreiben der Viral rennt. :roll:

Die Erfahrung zeigt aber, daß Sony auf einen gepflegten Shitstorm zumindest mal reagiert (siehe z.B. komprimiertes/unkomprimiertes RAW). Wenn das dazu führt, daß Updates künftig wieder auf normalem Weg (Speicherkarte in die Kamera und fertig) installiert werden können, soll es mir nur recht sein. Egal ob der Artikel Käse ist oder nicht.

Ärgerlich an der Geschichte ist, dass High Sierra nun nicht mehr sooo neu ist und Sony genug Zeit gehabt hat eine Lösung zu präsentieren, wie ihre Updates die Objektive und Kameras erreichen.

Apple braucht nicht die ganze Zeit in ihr System herum murksen, dass man jeden Revisionssprung neue Software braucht! :roll:

Ich mache mir große Sorgen. Jedes mal, wenn ich so alle zwei Jahre wenige Minuten ein Firmwareupdate installiert habe, sind ganze Armeen von Hackern und Bots auf meinen Rechner losgegangen. Was mache ich nur, muss ich ihn jetzt einschmelzen? Und das, wo ich doch gestern gerade ein Sytem Backup zurückgespielt habe... Aber als Windows-Benutzer kann ich da sowieso nicht mitreden.;)

Nicht perfekt von Sony, aber da gibt es doch andere Sachen, über die ich mich aufrege.

Apple braucht nicht die ganze Zeit in ihr System herum murksen, dass man jeden Revisionssprung neue Software braucht! :roll:

Das ist Quargel und das weisst du. Es kann nicht schuld des OS-Herstellers sein, wenn ein Software-Hersteller trotz langen Vorlaufs nicht in der Lage ist, seiner Software rechtzeitig ein Update zu verpassen. Dabei spielt es keine Rolle, ob der OS-Hersteller Apple oder Microsoft heisst.
Aber schön, dass man hier mal wieder themenfremd das beliebte Apple-Bashing eingestreut hat.

Uwe

Oder doch besser auf die D750 umsteigen? Aber hopla, https://www.slashgear.com/nikon-d750-users-warned-of-potential-security-risk-25347958/

Apple ist auch nicht mehr DER Hersteller sicherer Betriebssysteme.

Beispiele gefällig?

Hier mal das Editorial aus dem aktuellen c't 4/2018: "Gefallene Äpfel (https://www.heise.de/ct/ausgabe/2018-4-Editorial-Gefallene-Aepfel-3954271.html)

Apple ist auch nicht mehr DER Hersteller sicherer Betriebssysteme.

Beispiele gefällig?

Hier mal das Editorial aus dem aktuellen c't 4/2018: "Gefallene Äpfel (https://www.heise.de/ct/ausgabe/2018-4-Editorial-Gefallene-Aepfel-3954271.html)

Geht es hier nun um Apple?
Ich dachte, es geht um die Sony-Software? Bleibt doch beim Thema.

Hallo Oldy,

leider geht es um Apple, auch wenn das im Threadtitel nicht zum Ausdruck kommt.

Dass die Sony Software Administratorrechte braucht, ist seit Jahren so, also nichts Neues und für Windows User an und für sich kein Problem.

Apple hat aber in letzter Zeit einiges verbockt und reagiert so, dass es eben mit der Sony Software Probleme geben könnte. Windows Systeme sind davon nicht betroffen, da ist es kein Problem, Software, die Administrator-Rechte fordern, laufen zu lassen.

Schau dir doch die 'Warnung', die diesen Thread ausgelöst hat, nochmal genauer an. Sony warnt auf der Homepage davor, dass es mit Mac OS 10.13 High Sierra (https://petapixel.com/assets/uploads/2018/02/sonywarning.jpg) Probleme geben könnte.

Das ist Quargel und das weisst du.

NetrunnerAT meinte damit wohl eher das Verbiegen von *NIX-Standards, die Demontage funktionierender Sicherheitsmechanismen durch herumfrickeln und "ausmustern" älterer Programme mit neuen MacOS Releases. Manchmal gibt's auch einfach den Hersteller nicht mehr - und somit auch keine Updates.

Aber wir sind uns sicherlich einig, daß SONY hier nachbessern muß und seinen Updateprozess überdenkt: wieso nicht ein simples *.frm Firmware-File in's Root-Verzeichnis der Speicherkarte kopiert - und die Kamera kümmert sich selbst um den Updateprozess. Andere Hersteller praktizieren das problemlos seit vielen Jahren...

Damit spart man sich auch nebenbei gleich den Support verschiedener Betriebssysteme und -versionen.;)

Grüße, meshua

Damit spart man sich auch nebenbei gleich den Support verschiedener Betriebssysteme und -versionen.;)

Oder es wird komplizierter -> keine Ahnung wieviele verschiedene Betriebssysteme in den verschiedenen Kameramodellen stecken.
Aber zumindest wäre es für Endkunden einfacher.

Oder es wird komplizierter -> keine Ahnung wieviele verschiedene Betriebssysteme in den verschiedenen Kameramodellen stecken.
Aber zumindest wäre es für Endkunden einfacher.

Wieso "komplizierter"? Die Firmware ist doch bereits sehr kamera-spezifisch - somit hat sich bereits ein SONY Entwickler-Team intensiv mit dem "verschiedene Betriebssysteme in den verschiedenen Kameramodellen" Umstand gründlich auseinandergesetzt. Was SONY jetzt noch oben drauf setzt und damit die Komplexität erhöht: dedizierte Firmware-Installer für verschiedene Betriebssysteme, die von Anwendern zudem noch was-weiß-ich wie unterschiedlich konfiguriert wurden und dies in den Installer-Routinen idealerweise alles mit berücksichtigt werden sollte (mindestens in entsprechenden EXCEPTION Routinen, sonst => Crash oder noch schlimmer => Flash->Brick :P). Am Ende kommt eben so ein sicherheits-kritischer Murks an Updatern heraus.

IMHO läuft auf einigen SONY-Modellen ein Android-Subsystem - das hat der Hersteller unter seiner Kontrolle und kann entsprechend effektiv Update-Routinen in den Kameras implementieren, welche die Komplexität eines Updates auf die Kamera-Interna reduzieren. So eine Firmware-Datei auf eine SD-Karte kopieren sollte selbst mit den exotischsten OS für den Anwender machbar sein - ist schließlich das OS, mit welchem er vertraut ist und regelmäßig arbeitet...

Nützlich wäre es auch, wenn der Kamerahersteller eine dem Endanwender zugängliche Möglichkeit implementieren würde, die auch bei einem fehlgeschlagenen Firmware-Updateprozess eine Recovery-Möglichkeit bietet - ähnlich via TFTP bei Netzwerkgeräten. :roll:

Für mich als Endkunde wäre folgende Updateprozedur definitiv einfacher:


Kopieren sie *.frm Datei auf ihre SD-Karte
Steckend Sie diese in ihre Kamera, schalten diese an und folgen sie den Anweisungen.
Fertig! ;)

Grüße, meshua

Für mich als Endkunde wäre folgende Updateprozedur definitiv einfacher:
Kopieren sie *.frm Datei auf ihre SD-Karte
Steckend Sie diese in ihre Kamera, schalten diese an und folgen sie den Anweisungen.
Fertig!

Sehe ich genau so. Und das gab (gibt?) es auch bei Foto- und Videokameras. Ich weiss nur nicht mehr, wann und welche das waren.
Dieses Prinzip gab (gibt) es ja auch bei den Motherboards, nur das die Firmwaredatei hier erst auf die Festplatte geschrieben werden muss.
Warum die Kamerahersteller das so nicht (mehr) machen, ist mir ein Rätsel. Das Problem mit verschiedenen Betriebssystemen und deren verschiedenen Versionen wäre dann kein Problem mehr.

Noch mal was zum eingangs verlinkten Artikel.
Ich hab mir nun noch einmal den Artikel durchgelesen und sehe das Problem einzig auf Sonys Seite. Warum deren Softwareentwickler nicht in der Lage sind, eine funktionierende Software-Routine zu schreiben, ist letztlich nur peinlich.
Die Hard- und Softwarehersteller bekommen lange vorher die neue OS-Software, um ihre Routinen anzupassen. Sony scheint das nicht lange genug zu sein, obwohl die anderen Kamerahersteller das schaffen.
Man sollte einfach mal die rosarote Sony-Brille abnehmen und die Problematik neutral betrachten. Dann kommt man auch ganz alleine darauf, wer sich hier einen Bock geleistet hat.

lg
Uwe

Moin Uwe,

Warum die Kamerahersteller das so nicht (mehr) machen, ist mir ein Rätsel. Das Problem mit verschiedenen Betriebssystemen und deren verschiedenen Versionen wäre dann kein Problem mehr.

vielleicht ist das ein Ansatz, um Firmware-Hacks zu unterbinden.

Wenn ich mich recht an meine mehrtägige Leihgabe erinnere, wollte die Olympus OM-D E-M5 Mark II auch eine spezielle Software, um ein Firmware-Update zu vollziehen.


Dat Ei