PC wiederherstellen?

Anzeige

AW: PC wiederherstellen?

Ganz ehrlich: Es ist praktisch unmöglich, den gesamten Code zu verifizieren. Deshalb ist dieses Argument mit der hohen Sicherheit bei Open Source lächerlich.

Klar: Mit dem entsprechenden Aufwand und den entsprechenden Spezialisten kann man das alles überprüfen, aber wer macht das? Du als Endanwender, Kunde oder sonstwer musst dann doch wieder auf "irgendwen" vertrauen.

 

AW: PC wiederherstellen?

Na, zumindest bei Tools wie Truecrypt erledigt das die weltweite Community. Ich denke, wenn da Backdoors programmiert worden wären, hätte es schon einen Aufschrei gegeben.

Bei größeren Sachen wie Office Suiten, Betriebssystemen etc. stimme ich Dir vorbehaltlos zu. Da verliert man schon aufgrund der Menge an Codzeilen die Übersicht. Und massig Zeit würde es auch kosten, das Ganze Zeile für Zeile durchzugehen. Und dann weiß man am Ende auch nicht mehr was am Anfang gestanden hat.

 

AW: PC wiederherstellen?

Wer ist "die Community"?

Das ist der Punkt.

Ich kenne niemanden, der sich "die Community" nennt. Wer ist das? Wo wohnen die? Wie heißen sie? Wem dienen sie?

Ich muss ganz ehrlich sagen, dass ich es für ziemlich gefährlich halte, einer "Community" blind zu vertrauen. Siehe Wikipedia -- dort steht auch jede Menge Unsinn oder bewusst tendenziöses drin. Niemand weiß, ob und wann es jemand entdeckt oder ob das, was dort steht einfach als "wahr" angenommen wird.

In Linux-Standardkomponenten hat man Sicherheitslücken entdeckt, die seit 10 Jahren darin enthalten waren. Wie kann das denn sein, wenn doch "die Community" darüber so energisch wacht?

Ich hab keine Ahnung, wie umfangreich die Sourcen zu den verschiedenen Verschlüsselungs-Tools sind. Ich weiß nur, wie schwer es ist, auch schon kleine Quellcode-Pakete zu verstehen. Gerade das Zusammenspiel diverser Komponenten untereinander ist nicht immer ersichtlich. Reverse Engineering ist alles andere als trivial.

Und was das ganze noch viel schlimmer macht: Normalerweise lädst du dir ja die fertig kompilierten Programme herunter und installierst sie auf deinem System. Wer sagt dir, dass diese Kompilate tatsächlich von dem von dir überprüften Quellcode stammen? Wenn ich so sehe, wie z.B. Sourceforge die Downloads ja weltweit auf diverse Server verteilt -- wer hat die unter Kontrolle?

Am Ende hast du nur dann Sicherheit, wenn du höchstpersönlich den Quellcode überprüfst und dir daraus selber deine eigenen Compiles baust. Doch selbst dann kann dir niemand sagen, was eigentlich der Compiler anstellt. Auch der könnte "verseucht" sein und unbemerkt irgend etwas in einen "sauberen" Code einschleusen.

Kurzum: ich möchte nicht sagen, dass Open Source per se unsicher sei. Nur halte ich es für ein wenig blauäugig, wenn man davon ausgeht, dass es grundsätzlich "sicherer" sei, als Closed Source.
Denn auch Unternehmen, die ihre Produkte klassisch als Closed Source vertreiben, stehen unter Beobachtung -- gerade die! Denn hier ist das Misstrauen in der "Community" ja noch größer, weil man ja nicht "reinschauen" kann.

Am Ende bleibt dir also nichts anderes übrig, als zu vertrauen – irgendwem. Einer inhomogenen, anonymen Masse oder einem kommerziell orientierten Unternehmen, das für alle seine Schritte juristisch angreifbar ist.

Deine Entscheidung.

 

AW: PC wiederherstellen?

Also ehrlich Gag. Ich muss offen gestehen, daß ich von der Komplexität des Softwaredevelopments doch noch weniger als wenig verstehe.

Unterm Strich stellt sich die ganze Materie im Grunde für mich nun wie folgt dar:

1. Es ist alles eine Vertrauenssache.

2. Ich muss das Risiko in jedem Falle selbst abschätzen können.

3. Möglichst nur Quellen nutzen, die bekannt und wenig bis nie negativ aufgefallen sind.

4. Ob Open oder Closed Source. Das Risiko auf die Nase zu fallen ist im Grunde gleich groß.

 

AW: PC wiederherstellen?

Du hast es ziemlich genau auf den Punkt gebracht.

Du musst immer auf Dritte vertrauen, dass die Software, die du nutzen möchtest, auch das tut (und nur das), was dir zugesichert wird. Jemanden prinzipiell mehr zu vertrauen, nur weil er sich Open Source oder den Namen eines großen Konzerns auf die Fahne schreibt, ist naiv.

Es bleibt am Ende immer Abwägungssache, es bleibt am Ende immer ein Risiko. Mit dem muss man einfach leben.

Noch ein Wort zu der Komplexität: Ich weiß ja nicht, was du beruflich tust, also weiß ich nicht, welcher Vergleich am besten passt. Aber nimm einfach eine große Fabrik mit einer Produktionsstraße. Hier hast du noch eine Chance, die Zusammenhänge zu erkennen, da alles miteinander physisch verbunden ist. Aber so lange die Maschinen nicht laufen, müsstest du alles zerlegen um deren Funktion zu erraten.
So ähnlich ist das eben auch bei der Software-Entwicklung. Den nackten Quellcode zu interpretieren, ist teilweise sehr schwer -- je nach dem, wie er geschrieben ist. Man kann es dann im Debugger laufen lassen und dann praktisch während des Betriebs "zuschauen", wie die Daten durch die einzelnen Prozeduren laufen. Eben so, wie bei der Sendung mit der Maus die einzelnen Schritte der Produktionsstraße. Doch da kannst du letztlich auch nur einen Fall beobachten, die Verarbeitung kann ja auf verschiedenste Weise verzweigen.

Und richtig fies wird es erst, wenn du dir das so vorstellst: Die einzelnen Teile der Produktion sind nicht an einem Ort, sondern es sind viele kleine Räume mit einer kleinen Maschine, die immer nur einen winzigen Schritt macht. Dann werden die Teile verpackt und per Post an eine andere Maschine verschickt, die auch am anderen Ende der Welt stehen könnte. Da den Überblick zu behalten, was wie so wann gemacht wird, ist nicht leicht.

Modularisierung ist einer der wichtigsten Design-Bestandteile bei Software, so dass man eben dasselbe nicht zweimal programmieren muss. Nur führt das eben dazu, dass die Verarbeitung nicht mehr linear verläuft, sondern wild durch verschiedene Prozeduren gereicht wird, die in zig verschiedenen Quellcode-Dateien definiert sind.

 

AW: PC wiederherstellen?

Wenn man vom Teufel spricht. Dies also zur Sicherheit bei Open Source:

Achtung: Anzeigen-Server OpenX enthält eine Hintertür | heise online

"Es ist bisher weder bekannt, welche Versionen darüber hinaus betroffen sein könnten, noch wie der Code dorthin gekommen ist. Allerdings findet sich die Hintertür bereits in einem Download aus November 2012; sie dürfte also mindestens ein dreiviertel Jahr unbemerkt online gewesen sein."

Der naiven Vorstellung nach hätte so etwas niemals passieren können, da "die Comunity" doch darüber wacht.

 

AW: PC wiederherstellen?

Das größte Sicherheitsrisiko ist nun einmal der Mensch. Deshalb wird es bei OpenSource als auch bei ClosedSource keine absolute Sicherheit geben.

Letztendlich ist es aber sicherer auf gut gepflegte OpenSource-Software zurückzugreifen, als einem Unternehmen blind zu vertrauen.

Auch wenn die Community zum Sourcecode beiträgt, heißt das noch lange nicht, dass man x-beliebigen Code einbringen kann. Je nach Projekt gibt es mehr oder weniger ausführliche Reviews und Tests duch bekannte Entwickler. Sollte Schadcode eingeführt worden sein, lässt sich das im Sourcecode natürlich besser analysieren als im Binärcode und die Sourcecodeverwaltungssoftware (git, svn, ...) der OpenSource-Projekte lassen auch die Quelle der Änderung ermitteln.

Bei OpenX wurden die Sicherheitsmechanismen vermutlich durch kriminelle Energie ausgehebelt. Es ist ja auch sehr lukrativ, beliebte PHP-Software für Schadcodeeinschleußungen zu unterminieren. Da können auch größere Geldsummen im Spiel sein.

 

AW: PC wiederherstellen?

So weit stimme ich dir zu.

Mit welcher Begründung? Woher weißt du, wer hinter dem OpenSource-Projekt steht? Kennst du die Leute? Kennst du ihre Absichten? Wie kannst du diese Leute erreichen?

Und wieso glaubst du, sei es einfacher, in den unzugänglichen Quellcode von konventionellen Programmen Schadcode einzubringen?

Du unterstellst damit ja, dass die betreffenden Unternehmen dies vorsätzlich tun.

Tja, und jetzt denk mal drüber nach.

Vertraust du einer solchen erwiesenermaßen unsicheren Quelle, in der ja praktisch jeder irgendwas einbringen kann, bis es irgendwann von irgendwem zufällig bemerkt wird, oder vertraust du einem namhaften Unternehmen, dem du im Schadenfall auf dem Rechtsweg habhaft werden kannst?



Also ich wüsste nicht, warum ich OpenSource mehr vertrauen sollte. Übrigens: Bei dem oben geschilderten Fall ist die Hintertür mitnichten durch Code Review aufgefallen, sondern erst dadurch, dass jemand "verdächtige" Aktivitäten im Logfile entdeckt hat.

 

AW: PC wiederherstellen?

Du kannst diese Leute besser erreichen, als den unbekannten Entwickler einer Softwareschmiede. Probier es aus! Normalerweise lässt sich der erste Kontakt per E-Mail herstellen.

So paranoid bin ich wirklich. Ich gehe fest davon aus, dass z.B. Microsoft in Windows diverse Hintertürchen für die Geheimdienste eingebaut hat und die Verschlüsselungssoftware BitLocker einen Generalschlüssel hat. Ich muss aber zugeben: Das Ausmaß des NSA-Skandals hat selbst mich überrascht.

Normalerweise kann nicht Jeder x-beliebigen Code einbringen, wie ich im obigen Beitrag schon geschrieben habe. Probier es doch aus! Dein Code durchläuft normalerweise mehrer Reviewphasen bevor er im nächsten Stable-Release auftaucht.

Ansonsten: Können deutsche Unternehmen wegen "offensichtlicher" Wirtschaftsspionage die USA verklagen, wenn selbst die deutsche Regierung klein beigibt?

Logfileanalyse gehört zum Code-Review dazu, hier halt vom Anwender. Da er Zugang zum Quellcode hat, kann auch er einen Code-Review durchführen. Bei ClosedSource ist das nicht möglich. Wie ich aber oben schon vermutet habe, ist hier wohl kriminelle Energie im Spiel. Der zuständige Entwickler war wohl beteiligt.

Übrigens stehen hinter großen OpenSource-Projekten auch große Unternehmen als Geld- und Ressourcenspender. Die haben auch ein Interesse daran, dass der Ruf des Projekts einwandfrei bleibt.

 

AW: PC wiederherstellen?

Ja, und? Wer ist das? Wo finde ich ihn? Wie kann ich ihm eine gerichtliche Vorladung zustellen?

Verstehst du? Du weißt gar nichts über diesen Entwickler. Er ist nur eine E-Mail-Adresse und ein Name, der nicht einmal stimmen muss. Woher willst du wissen, dass dieser Entwickler nicht in Wirklichkeit Teil einer Abteilung der NSA ist?

Also mich hat das nicht im geringsten Überrascht. Deutsche E-Mail-Provider sind doch sogar gesetzlich verpflichtet, den Behörden eine "Hintertür" zur Verfügung zu stellen.

Ansonsten, wie ich bereits schrieb: Woher weißt du denn, dass das OpenSource-Projekt, dem du so vertraust, nicht in Wahrheit ein Produkt eines Geheimdiensts sei.

Also ich kann in Windows überhaupt keinen Code einbringen. Insofern ist das dann noch sicherer.

Ansonsten: Wie willst du sicherstellen, dass nicht nach der Review-Phase etwas eingebracht wird? Wenn ich mir Ubuntu installiere, dann lade ich ein fertig kompiliertes ISO-Image herunter, das für mich real auch "geschlossen" ist. Woher weiß ich, dass da das drin ist, was behauptet wird?

Du kannst den Hersteller verklagen, von dem du das Produkt erworben hast.

Dieses Interesse haben Hersteller von geschlossenen Projekten genauso.

Also wo ist denn nun der Vorteil? Ich sehe ihn nicht. Du musst in beiden Fällen Menschen vertrauen, die du nicht kennst. Nur dass du ihnen in einem Fall immerhin juristisch habhaft werden kannst.

Die Wahl zwischen Open Source und Closed Source ist halt so wie bei "Wer wird Millionär", wenn du dich zwischen dem Publikums-Joker und dem Anruf-Joker entscheiden musst. In dem einen Fall vertraust du einer Community, in dem anderen einem von dir ausgewählten Spezialisten.