3. Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?

Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?

  • T

    Die NSA, deren Hauptaufgabe es ist, widerrechtlich geheime Informationen aus aller Welt zu beschaffen, würde natürlich niemals proprietären Code stehlen. Die lesen nur Open Source! 🤡

    Proprietäre Software und Sicherheit schließen sich gegenseitig aus.

    Open Source Projekte leiden oft darunter, dass viele daran unkontrolliert herumbasteln und nutzlose Features einbauen wie bei Heartbleed. Das ist aber ein organisatorisches Problem, das nichts mit freier Software an sich zu tun hat. Wenn bei Microsoft jeder Mitarbeiter in jedem Projekt committen dürfte, wäre da auch ganz schnell Chaos.

    0
  • ?

    TyRoXx schrieb:

    Die NSA, deren Hauptaufgabe es ist, widerrechtlich geheime Informationen aus aller Welt zu beschaffen, würde natürlich niemals proprietären Code stehlen. Die lesen nur Open Source! 🤡

    Die NSA wird überall versuchen an Daten heranzukommen.
    Aber auch sie wird da am meisten Erfolg haben, wo es am einfachsten ist.

    Die die verbunktere Iraner Firma kommen die auch nicht rein, wenn die durchgehend überwacht wird.

    Proprietäre Software und Sicherheit schließen sich gegenseitig aus.

    Blödsinn.

    Proprietäre Software und Vertrauenswürdigkeit aus Kundensicht schließen sich vielleicht gegenseitig aus, aber definitiv nicht Proprietäre Software und Sicherheit.
    Denn, es ist möglich Software zu schreiben, die sicher ist und dennoch proprietär.

    Open Source Projekte leiden oft darunter, dass viele daran unkontrolliert herumbasteln und nutzlose Features einbauen wie bei Heartbleed. Das ist aber ein organisatorisches Problem, das nichts mit freier Software an sich zu tun hat.

    Ähm doch, jeder kann es erweitern wie er will.
    Und das war auch kein organisatorisches Problem, weil der Commiter schon viele Jahre an diesem Projekt mitgewirkt hat.
    Das Problem war ein mangelnder Code Audit, insbesondere auch von den vielen Augen nach dem Commit, mit denen bei OSS immer geworben wird.

    0
  • A

    NSA loves Heartbleed schrieb:

    Die die verbunktere Iraner Firma kommen die auch nicht rein, wenn die durchgehend überwacht wird.

    Klar. So wie Stuxnet nicht in die Uran-Anreicherungsanlage in Natanz reinkam.

    0
  • ?

    audacia schrieb:

    NSA loves Heartbleed schrieb:

    Die die verbunktere Iraner Firma kommen die auch nicht rein, wenn die durchgehend überwacht wird.

    Klar. So wie Stuxnet nicht in die Uran-Anreicherungsanlage in Natanz reinkam.

    Es macht einen Unterschied ob du eine IT fähige oder eine IT affine Firma hast.
    Nukleartechnik ist Sache der Physiker, die haben nicht zwangsläufig viel Ahnung von IT.

    Zumal wir hier von IT Firmen sprechen, die hochsichere Sicherheitssoftware schreiben soll.

    0
  • ?

    Übrigens, so einfach geht das mit Open Source:

    http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/nsa-soll-heartbleed-luecke-seit-zwei-jahren-systematisch-ausgenutzt-haben-12892263.html

    Dank Quellcode konnte die NSA schon von Anfang an mithören.
    Ich habe doch gesagt, dass Geheimdienste genug Manpower und Geld haben um so etwas durchzuführen.

    Da bringt die Offenheit von OSS nichts mehr, denn wenn ein Bug existiert, dann ist damit zu rechnen, dass ihn die NSA auch kennt.

    0
  • A

    NSA loves Heartbleed schrieb:

    Es macht einen Unterschied ob du eine IT fähige oder eine IT affine Firma hast.
    Nukleartechnik ist Sache der Physiker, die haben nicht zwangsläufig viel Ahnung von IT.

    Du solltest mal den Artikel lesen. Natanz war völlig abgeriegelt. Und auch bei denen werden nicht die Physiker für die IT zuständig gewesen sein. Trotzdem kann man da reinkommen, wenn man ein bißchen standortspezifische Informationen, eine Handvoll Exploits, eine Prise menschliches Fehlverhalten und ein irrsinniges Budget zusammenwirft.

    Natürlich ist der Aufwand für einen Geheimdienst, an beliebigen Closed-Source-Quelltext zu kommen, sehr groß. Aber darum geht es gar nicht, weil es dich eigentlich gar nicht interessiert, ob deine iranische Firma nun sicheren Code hat oder nicht. Dich interessiert, ob die Programme sicher sind, die du benutzt. Und mit großer Wahrscheinlichkeit sitzen die Firmen, von denen deine Software geschrieben wurde, in den USA oder wenigstens in einem mit den USA assoziierten westlichen Land. Und wie schwierig ist es wohl für die NSA, dort an Quelltext zu kommen? Etwa bei Unternehmen mit vier- oder fünfstelligen Mitarbeiterzahlen, die die interne Kommunikation ihrer Server bis vor kurzem nicht verschlüsselt haben? Bei Unternehmen, die den quelloffenen Unterbau ihres Betriebssystems beim Mergen nicht ordentlich reviewen? Bei Unternehmen, deren nichtamerikanische Konkurrenten vom Staat boykottiert werden, weil die NSA dort nicht sicher sein kann, daß deren Produkte keine nichtamerikanischen Backdoors enthalten?

    Wie gesagt, im Prinzip hast du Recht, und es ist eine Schande, daß so wenig Mittel in Audits quelloffener Software investiert werden. (TrueCrypt ist immer noch unauditiert.) Aber wenn man überlegt, was denn die nicht-quelloffenen Alternativen so sein könnten, schwindet der theoretische Vorteil sehr schnell dahin. (Oder würdest du BitLocker nehmen, wenn du mit unveröffentlichten Snowden-Dokumenten im Gepäck über die Grenze willst?)

    0
  • ?

    audacia schrieb:

    NSA loves Heartbleed schrieb:

    Es macht einen Unterschied ob du eine IT fähige oder eine IT affine Firma hast.
    Nukleartechnik ist Sache der Physiker, die haben nicht zwangsläufig viel Ahnung von IT.

    Du solltest mal den Artikel lesen. Natanz war völlig abgeriegelt. Und auch bei denen werden nicht die Physiker für die IT zuständig gewesen sein. Trotzdem kann man da reinkommen, wenn man ein bißchen standortspezifische Informationen, eine Handvoll Exploits, eine Prise menschliches Fehlverhalten und ein irrsinniges Budget zusammenwirft.

    In einer sicherheitskritischen Firma trennt man die wichtigen Rechner vom Internet, dann geht gar nichts.
    Dann brauchst du social Engeneering oder musst in das Gebäude einbrechen.
    Beides ist in einem fremden und feindlichen Land wie es der Iran für die USA ist, auch für die NSA nicht einfach.

    Und bei Stuxnet wurden die Komponenten vom Ausland geliefert, das ist etwas völlig anderes, als wenn eine Firme ihr Bollwerk selbst programmiert.

    Dich interessiert, ob die Programme sicher sind, die du benutzt. Und mit großer Wahrscheinlichkeit sitzen die Firmen, von denen deine Software geschrieben wurde, in den USA oder wenigstens in einem mit den USA assoziierten westlichen Land. Und wie schwierig ist es wohl für die NSA, dort an Quelltext zu kommen?

    Auch in einer Deutschen Firma kannst du die relevanten Rechner vom Internet trennen, das Gebäude Tag und Nacht überwachen lassen, mit allerhand Sicherheitsvorkehrungen verbarrikadieren und bei der Personalauswahl sehr vorsichtig umgehen.

    Etwa bei Unternehmen mit vier- oder fünfstelligen Mitarbeiterzahlen, die die interne Kommunikation ihrer Server bis vor kurzem nicht verschlüsselt haben?

    Viel zu groß. Sicherheitskritische Projekte führt man in einem kleinen Team durch und Zugang kriegt nur der, der damit auch etwas zu tun hat.
    Nur weil es Firmen gibt, die noch nicht ganz aufgewacht sind, bedeutet dies nicht, dass man hier sehr paranoisch das Projekt absichern kann.

    Wie gesagt, im Prinzip hast du Recht, und es ist eine Schande, daß so wenig Mittel in Audits quelloffener Software investiert werden. (TrueCrypt ist immer noch unauditiert.)

    Danke.

    Aber wenn man überlegt, was denn die nicht-quelloffenen Alternativen so sein könnten, schwindet der theoretische Vorteil sehr schnell dahin. (Oder würdest du BitLocker nehmen, wenn du mit unveröffentlichten Snowden-Dokumenten im Gepäck über die Grenze willst?)

    CSS die von kleineren Firmen entwickelt werden haben auch nicht unbedingt den Bekanntheitsgrad, dass wir davon Kenntnis haben.
    Nein, Bitlocker würde ich nicht nehmen, weil MS eine US Firma ist und es in den USA Gesetze wegen Nationale Sicherheit gibt, die Firmen brechen können.

    Ich würde aber durchaus eine europäische Sicherheitssoftware von einem seriiösen Unternehmen einsetzten, sofern es nicht gerade aus England ist.
    Aber wie ich bereits vorher sagte, bei CSS ist das Problem nicht eine SIcherheitsfrage, sondern eine Vertrauensfrage.
    Es kann sichere CSS geben, aber ob du der Firma vertrauen willst, dass ist eine völlig andere Geschichte.
    Bei Open Source vertraust du aber auch blind, wenn du den Code nicht selbst auditest.
    Dein ganzes Vertrauen wird also lediglich aus der Hoffnung genährt, dass andere, also Dritte, Lücken in OSS für dich finden. Aber dabei übersiehst du, dass Geheimdienste diese Lücke erst recht finden können und auch werden, aber diese nicht zwangsläufig melden.
    Daraus folgt, dass man eigentlich annehmen muss, dass CSS vermutlich mehr Sicherheit bietet.

    0
  • S

    NSA loves Heartbleed schrieb:

    Dein ganzes Vertrauen wird also lediglich aus der Hoffnung genährt, dass andere, also Dritte, Lücken in OSS für dich finden. Aber dabei übersiehst du, dass Geheimdienste diese Lücke erst recht finden können und auch werden, aber diese nicht zwangsläufig melden.
    Daraus folgt, dass man eigentlich annehmen muss, dass CSS vermutlich mehr Sicherheit bietet.

    Staatlich organisierte Geheimndienste haben Möglichkeiten, die die der Hackergruppen oder krimineller Dritte um sehr viele Größenordnungen übersteigen. Denen ist es egal ob es closed oder open ist. Wenn sie die Fehler bei CSS nicht finden, besorgen sie sich zur Not den Quellcode durch Infiltration der Unternehmen oder Kauf von führenden Mitarbeitern. Wenn das Ziel wichtig genug ist, stehen bei Geheimdiensten auch genug Mittel zur Verfügung. Man muss hier definitiv unterscheiden und wird zu dem Schluss kommen, dass OSS oder CSS nicht sicherer als das andere ist.

    0
  • S

    Ihr redet hier von Geheimdiensten. Geheimdienste, das sind doch die mit Bestechung, Korruption, Abhören, Agenten, fiese Tricks, Mord usw. usw. und alles ... richtig, eben im geheimen, das kennt man doch aus diversen Filmen.

    Also, was da hilft ist Kontrolle. Wo hat hat man die Kontrolle, richtig im Open Source. Denn da kann jeder gucken. Kontrolle hat man gewiss nicht im Closed Source, da hat man nur Versprechen. Und Versprechen sind ...

    Wenn nun niemand kontrolliert, ja nun, dann gibt man eben den Geheimdiensten nen Freitfahrtsschein ... aber dann ist man wenigstens selbst schuld.

    0
  • F

    ScottZhang schrieb:

    Also, was da hilft ist Kontrolle. Wo hat hat man die Kontrolle, richtig im Open Source. Denn da kann jeder gucken. Kontrolle hat man gewiss nicht im Closed Source, da hat man nur Versprechen. Und Versprechen sind ...

    Ich bin nicht in der Lage darüber zu Urteilen ob fremder Code sicher ist oder nicht, was bringt mir da die Theoretische Möglichkeit der Kontrolle? Und wenn man sich darauf verlässt das jemand anderes kontrolliert hat man wieder den gleichen Stand wie bei CSS. Es ist eher so, dass es bei CSS wahrscheinlicher ist, das mal jemand kontrolliert hat als bei OSS.

    ScottZhang schrieb:

    Wenn nun niemand kontrolliert, ja nun, dann gibt man eben den Geheimdiensten nen Freitfahrtsschein ... aber dann ist man wenigstens selbst schuld.

    Es bringt mir keinen Vorteil ob ich selbst oder jemand anderes Schuld ist, beides hat die gleichen Konsequenzen für mich.

    floorball

    0
  • S

    floorball schrieb:

    Ich bin nicht in der Lage darüber zu Urteilen ob fremder Code sicher ist oder nicht, was bringt mir da die Theoretische Möglichkeit der Kontrolle? Und wenn man sich darauf verlässt das jemand anderes kontrolliert hat man wieder den gleichen Stand wie bei CSS. Es ist eher so, dass es bei CSS wahrscheinlicher ist, das mal jemand kontrolliert hat als bei OSS.

    Versteh ich nicht, soll das ein Argument sein? Bei CSS hast noch nichtmal die Möglichkeit. Ob das nun deine Fähigkeiten übersteigt oder nicht.

    Um über die Wahrscheinlichkeiten spekulieren zu können müsste man überhaupt erstmal verlässliche Quellen darüber haben , wer wie wo und wie oft über Quellcodes schaut, sonst bringt das überhaupt nix.

    Es geht darum was die Situation von vornherein zulässt und was nicht. Die Umsetzung interessiert dabei erstmal nicht. Das sollte in einem Programmier Forum wo leute Spzifikationen wälzen doch verständlich sein, oder nicht?

    floorball schrieb:

    Es bringt mir keinen Vorteil ob ich selbst oder jemand anderes Schuld ist, beides hat die gleichen Konsequenzen für mich.

    Ok, wenn man sein Leben nicht wenigstens versucht selbstbestimmt zu führen, dann haste recht.

    0
  • F

    ScottZhang schrieb:

    Es geht darum was die Situation von vornherein zulässt und was nicht. Die Umsetzung interessiert dabei erstmal nicht. Das sollte in einem Programmier Forum wo leute Spzifikationen wälzen doch verständlich sein, oder nicht?

    Was mir die Situation erlaubt ist doch vollkommen egal. Wichtig ist was raus kommt. Ob es sich dabei um OSS oder CSS handelt ist in der Tat egal. Nur was hat das mit dem Forum zu tun 😕

    floorball schrieb:

    Es bringt mir keinen Vorteil ob ich selbst oder jemand anderes Schuld ist, beides hat die gleichen Konsequenzen für mich.

    Ok, wenn man sein Leben nicht wenigstens versucht selbstbestimmt zu führen, dann haste recht.

    Was bringt mir der Versuch wenn er zu scheitern verurteilt ist? Ich programmiere hobbymäßig und habe nur von sehr wenig Themen ein bisschen tiefergehendes Verständnis. Zum Schluss muss ich davon ausgehen, dass wenn Fehler in Software sind, diese äußerst komplex sind. Wie soll ich die Finden??

    Ob jetzt OSS oder CSS ist für mich vollkommen egal, bei beiden kann ich davon ausgehen, das sie von Leuten die sich auskennen geschrieben wurde und somit relativ sicher ist.
    Außerdem bezweifle ich das du bei jedem Programm, das du benutzt den Code geprüft hast. Zum Schluss ist zwischen den Theoretischen Möglichkeiten und dem was in der Praxis passiert ein riesen unterschied.
    Ich will hier auch nicht entscheiden, ob jetzt CSS oder OSS sicherer ist, das kann ich auch gar nicht. Ich finde nur ein paar Argumente von Leuten die behaupten das OSS automatisch sicherer ist als CSS merkwürdig und dahingehend wollte ich argumentieren.
    Ich geb dir ja recht wenn du sagt das OSS in der Theorie die Möglichkeiten hat sicherer zu sein als CSS, dass das allerdings auch in der Praxis so ist bezeifel ich. In der Praxis denke ich sind beide gleich sicher.

    floorball

    0
  • S

    Open Source ist nicht sicherer, aber hier können auch die guten Jungs Fehler finden und ausbessern. Bei Closed Source ist man immer auf die Firma angewiesen, die die Lücke eventuell runter spielt oder gar nicht veröffentlichen darf, da der Geheimdienst die Hand drauf hält.

    Gewinner in meinen Augen ist da ganz klar Open Source.

    0
  • S

    floorball schrieb:

    [...]
    Ob jetzt OSS oder CSS ist für mich vollkommen egal, bei beiden kann ich davon ausgehen, das sie von Leuten die sich auskennen geschrieben wurde und somit relativ sicher ist.

    Hast ja recht, mag ja sein das es dir egal ist. Aber denk doch mal größer, es gibt ja nicht nur dich auf der Welt.
    Geheimdienste, oder sonstige Schurken arbeiten im verborgenen, OSS ist das genaue Gegenteil dazu. Daher seine Möglichkeiten.

    Das man die Möglichkeiten nicht pflegt ist ein anderes Thema, und natürlich habe ich nich alle Codes die ich verwende durchgeschaut und geschweige denn verstanden. Aber wenn es um die Frage geht OSS vs CSS dann vergleicht man entweder Äpfel mit Birnen oder redet am Thema vorbei.

    0
  • ?

    ScottZhang schrieb:

    Hast ja recht, mag ja sein das es dir egal ist. Aber denk doch mal größer, es gibt ja nicht nur dich auf der Welt.
    Geheimdienste, oder sonstige Schurken arbeiten im verborgenen, OSS ist das genaue Gegenteil dazu. Daher seine Möglichkeiten.

    Und diese Möglichkeiten stehen auch den Geheimdiensten zur Verfügung.

    Ich weiß ja nicht wie es bei euch ist, aber mir fällt es wesentlich leichter Fehler in einem Programm zu finden, wenn ich den Quellcode zur Verfügung habe.

    Daraus würde ich folgende Vermutung aufstellen.
    Wenn eine CSS und eine OSS Software jeweils gleich groß sind und 10 Fehler haben.
    Dann findet der Geheimdienst bei der CSS Version vielleicht 3,
    aber bei der OSS 9.
    Einfach weil er bei letzterem auch den Quellcode hat.

    Natürlich ist Obsucity keine Sicherheit, wie ich zuvor schon sagte,
    aber damit jemand eine Schwachstelle ausnutzen kann, muss demjenigen die Schwachstelle auch bekannt sein, mit Quellcode kommt er leichter an sie heran.

    Klar arbeiten Geheimdienste auch mit Mitarbeiterbestechung und Firmeninfiltration, aber das sind dann spezielle Einzelfälle, die man nicht generell zu CSS als Negativpunkt hinzurechnen kann.

    Und da Firmen Geld haben und ihre Mitarbeiter bezahlen, würde ich bei gut bezahlter CSS sogar annehmen, dass die wesentlich besser entwickelt, designed und intern geprüft wird, als bei OSS.
    Bei Sicherheitssoftware geht es sogar so weit, dass CSS Firmen Dritte unter NDA aber für Geld damit beauftragen, die Software durchzuchecken.
    Da gehen dann also Dritte, die Spezialisten auf dem Gebiet sind, mit hoher Motivation und Vollzeitarbeit an den Code Audit der CSS der anderen Firma heran und das soll schlechter sein, als OSS, bei dem 3 Entwickler die Hauptarbeit machen und der Rest der Welt darauf vertraut, dass schon irgendeiner einen aufwendigen Code Audit in der Freizeit macht? Ich bitte euch.

    Das man die Möglichkeiten nicht pflegt ist ein anderes Thema,

    Ähm nein, es ist das wesentliche Fundament bezüglich der Sicherheitsfrage, auf dem OSS aufbaut.

    Wie ich schon vorher sagte, wenn bei einem Stück OSS nicht mathematisch oder wenigstens durch umfangreiche Code Audits garantiert werden kann, dass die Software sicher ist, dann muss man davon ausgehen, dass irgendein Geheimdienst die Lücken bereits kennt und die OSS damit als unsicher einzustufen ist.

    Bei CSS muss man sich erst einmal Fragen, ob die Geheimdienste überhaupt den Quellcode haben.
    Haben sie den nicht, dann ist die Wahrscheinlichkeit, dass sie alle Lücken finden wesentlich niedriger, als wenn sie den Quellcode hätten.

    0
  • S

    Für dich scheint ein Geheimdienst offensichtlich nen Hackerkiddie zu sein, das zu Hause sitzt und Programme nach Fehlern durch sucht ...
    Gut unter der Annahme kann ich deine Gedanken nachvollziehen, auch wenn sie eigentlich nur auf wilden Annahmen beruhen! Und wilde Annahmen fände ich als Geheimdienst super.

    0
  • ?

    ScottZhang schrieb:

    Für dich scheint ein Geheimdienst offensichtlich nen Hackerkiddie zu sein, das zu Hause sitzt und Programme nach Fehlern durch sucht

    Ersetze Hackerkiddie durch ein 1000 Mannteam bestehend aus 30-50 jährigen ehemaligen Kellerkindern und Hackern die mit dem C64 und sonstigm Hackerzeugs groß geworden sind, von denen dann auch manche eingelocht wurden und nun per Vertrag mit dem Geheimdienst ihre Freiheit wiedererlangt haben, dann stimmt's.
    Also das glatte Gegenteil von dem, was du behauptest.

    0
  • ?

    Euere Argumente - die einen, wie die anderen stimmen alle.
    Eins kann ich jetzt jedenfalls mit absoluter Sicherheit behaupten:

    Seit letzter Woche gibt es weltweit keine sicherere Verschlüsselungssoftware, als OpenSSL.
    🕶

    0
  • ?

    OpenSSL schrieb:

    Seit letzter Woche gibt es weltweit keine sicherere Verschlüsselungssoftware, als OpenSSL.
    🕶

    Du machst die Annahme, dass sich in den letzten Tagen tausende Entwickler auf den Code von OpenSSL geworfen haben um weitere Bugs zu finden?

    Wenn dem so wäre, wo ist dann die neue Version mit dem Patches nach der Version mit dem Heartbleed Patch?

    0
  • S

    Genauso finden die Guten auch die Fehler in OSS, das gleicht sich sicherlich mit CSS aus. Nur OSS gehört keiner Firma und untersteht damit nicht zwanghaft dem Geheimdienst. Firmen wie Microsoft, Apple etc. MÜSSEN das machen was die Regierung sagt. Du kannst dir sicher sein, dass bei OSS jetzt noch mehr Leute jeden Commit kritisch hinterfragen.

    Wenn OSS endlich in Behörden usw. eingesetzt werden würde, dann würde das Interesse an besseren Code-Reviews noch viel größer.

    Es gibt für mich keinen Grund CSS der OSS vorzuziehen. Die Software von Firmen, die dem Geheimdienst unterstehen, vertraue ich schon aus diesem Missstand nicht.

    Was ich auch nicht verstehe ist, dass einem seine Daten auf einem Server so extrem wertvoll sind und den eigenen Briefkasten bekommt jedes Kind auf und kann die ach so wichtigen Daten abgreifen, oder noch einfacher man durchsucht euren Müll. Es ist ein leichtes an Bankdaten etc. ran zu kommen. Digitale Daten, die wirklich wichtig sind, sollte man generell nicht auf einem PC mit Netzanschluss ablegen, geschweige denn auf einem Server in der Wolke. Und wenn, dann muss man sich immer im klaren sein, dass kein System wirklich sicher ist.

    Je komplexer ein System, desto fehleranfälliger wird es. Aber so wird nur eine Meta-Diskussion daraus. Vielleicht ist es auch ein Fehler, dass fast jeder die gleichen drei Schloss-Arten verwendet, damit können sich Diebe gut spezialisieren. Auf der anderen Seite erfindet man nicht mal so eben ein neues sicheres Schloss selbst. Bleibt die Frage, ob ein individuelleres Schloss was nicht so sicher ist im Endeffekt doch mehr Sicherheit bring, weil sich die Diebe lieber auf die bekannten Massen-Schlösser stürzen?

    0
Anmelden zum Antworten