3. Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?

Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?

  • ?

    audacia schrieb:

    (TrueCrypt ist immer noch unauditiert.)

    breaking news: http://istruecryptauditedyet.com/

    0
  • A

    Sqwan schrieb:

    audacia schrieb:

    Sqwan schrieb:

    Ihr habt Probleme. Was kümmert mich was die NSA mit liest.

    D.h., du hast nichts zu verbergen?

    Nein

    Braver unbescholtener Bürger 👍 Aber wer das ernsthaft behauptet, hat das Problem nicht erkannt.

    0
  • A

    Ich bekomme Monat für Monat Security-Patches für Windows. Wie kommt das? Weil MS-Mitarbeiter diese Lücken finden? Zu denken, das lediglich MS den Windows-Code nach Fehlern durchsucht, ist blauäugig. MS selbst gibt doch den Sourcecode an externe Firmen per Sharedsource-Lizenz raus, damit diese auch Sicherheitslücken finden können.

    Hier schreiben einige über CSS und Windows, als MS den Code im Tresor aufbewahrt und hin und wieder die NSA vorbeischauen darf.

    Glaubt ihr wirklich, das MS absichtlich Sicherheitslücken einbaut?

    Ich weiß eines, Bill Gates hatt schon vor einem Jahrzehnt seine Mitarbeiter angewiesen z.B. nur die sicheren C-Funktionen zu benutzen. Jeder kann sich bestimmt noch an VC++ 2003 (oder war es 2005?) erinnern, als es Warnings hagelte, wenn man unsichere C-Funktionen nutzte.

    Hat das OpenSSL-Projekt solche Maßnahmen getroffen? Sieht ja nicht so aus.

    Ich finde es übrigens bedenklich, das die meisten OSS-Projekte immer noch kein C++ benutzen. Linus Torvalds ist auch so ein Held: er versteht C++ und OOP nicht (oder will es nicht verstehen), und deshalb wird C gemacht. Und das gilt auch komischerweise für alle anderen OSS-Projekte, bis auf wenige Ausnahmen. Aber das zeigt schon mal, wie flexibel und fortschrittlich die OSS-Community ist, um weniger fehleranfällige Software zu entwickeln.

    0
  • S

    audacia schrieb:

    Sqwan schrieb:

    audacia schrieb:

    Sqwan schrieb:

    Ihr habt Probleme. Was kümmert mich was die NSA mit liest.

    D.h., du hast nichts zu verbergen?

    Nein

    Braver unbescholtener Bürger 👍 Aber wer das ernsthaft behauptet, hat das Problem nicht erkannt.

    Sqwan schrieb:

    audacia schrieb:

    Sqwan schrieb:

    Ihr habt Probleme. Was kümmert mich was die NSA mit liest.

    D.h., du hast nichts zu verbergen?

    Nein, und natürlich klar.

    Sei doch so gut un zitiere alles, und nicht nur das was dir gefällt.
    Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.

    Hier schreiben einige über CSS und Windows, als MS den Code im Tresor aufbewahrt und hin und wieder die NSA vorbeischauen darf.

    Deshalb bezog ich mich auf wenige Organisationen die sich legitimieren können. Und nicht auf die NSA alleine.

    0
  • A

    asdfasdf schrieb:

    audacia schrieb:

    (TrueCrypt ist immer noch unauditiert.)

    breaking news: http://istruecryptauditedyet.com/

    Wunderbar! 🙂 Im Appendix mußte ich kurz lächeln, weil die Auditoren doch sehr ihre Coding-Style-Präferenzen empfehlen. Sonst ist es doch ein guter Anfang.

    @Sqwan, was soll das heißen, "sich legitimieren können"?

    0
  • T

    Sqwan schrieb:

    Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.

    Das ist ein Widerspruch.

    In der Kryptographie haben inzwischen fast alle verstanden, dass "security by obscurity" nicht funktioniert. Bei Sourcecode steht das noch bevor.

    0

  • TyRoXx schrieb:

    Sqwan schrieb:

    Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.

    Das ist ein Widerspruch.

    Nur wenn man sich weigert zu verstehen wie man "zu verbergen haben" auslegen muss, damit die Aussage Sinn macht (=kein Widerspruch entsteht).

    0
  • Mod

    Artchi schrieb:

    Glaubt ihr wirklich, das MS absichtlich Sicherheitslücken einbaut?

    Das ist eigentlich sogar so gut wie gesichert, dass sie das machen muessen.
    http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act
    Das ist von 1994! Glaubst du wirklich, dass es so etwas mittlerweile nicht auch fuer saemtliche Software gibt?

    0
  • ?

    Morle schrieb:

    NSA loves Heartbleed schrieb:

    Ich weiß ja nicht wie es bei euch ist, aber mir fällt es wesentlich leichter Fehler in einem Programm zu finden, wenn ich den Quellcode zur Verfügung habe.

    Wie findest Du denn Fehler in deinem Programm? Liest Du so lange den Quelltext solange, bis Du 'nen Fehler findest und fixt ihn dann oder guckst Du nach z.B. einem Absturz in den Quelltext was die Ursache gewesen sein könnte?

    In so einem Fall darf es natürlich nicht mein eigener Quellcode sein.
    Ist es nicht mein eigener Quellcode, dann finde ich auch Fehler durch das bloße durchlesen und durcharbeiten des Quellcodes, weil ich eben vielleicht Dinge sehe, die der Programmierer vor mir nicht gesehen oder übersehen hat.
    Beim eigenen Code funktioniert das leider so nicht, weil ich ja dann selbst derjenige bin, der Fehler übersehen könnte.

    Also ja, bei fremder Software hilft mir der Quellcode zum Aufspüren von Bugs und Fehlern.

    Beim *Fehler finden* hilft mir der Quelltext wenig bzw hat keine gutes Kosten/Nutzen Verhältnis vom Zeitaufwand her

    Ein Geheimdienst wird diese Zeit haben und sie auch investieren.

    Beim *Fehler analysieren* ist der Quelltext jedoch umso hilfreicher.

    Das kommt noch dazu.

    Die OpenSSL Lücke wurde übrigens auch nicht durch Quelltextlesen gefunden, sondern weil jemand eine unerwartete Antwort vom Server bekommen hat, als er gerade sein eigenes Programm getestet hat.

    Was zeigt, dass Open Source als Schutzfunktion hier nichts gebracht hat.
    Da es aber zwei Jahre gedauert hat, ist dies ein Indiz dafür, dass man bei CSS*
    einen glücklichen Zufall braucht um den Fehler zu finden oder es wesentlich länger dauert.

    * Der Fehler wurde ja schließlich nur beim Testen mit dem Binary entdeckt, das ist wie CSS.

    0
  • ?

    Artchi schrieb:

    Ich finde es übrigens bedenklich, das die meisten OSS-Projekte immer noch kein C++ benutzen. Linus Torvalds ist auch so ein Held: er versteht C++ und OOP nicht (oder will es nicht verstehen), und deshalb wird C gemacht. Und das gilt auch komischerweise für alle anderen OSS-Projekte, bis auf wenige Ausnahmen. Aber das zeigt schon mal, wie flexibel und fortschrittlich die OSS-Community ist, um weniger fehleranfällige Software zu entwickeln.

    Bei einem OS macht es schon Sinn C zu verwenden, denn der Kernel stellt auch Funktionen zur Verfügung die von anderen Libs, Programmen & Co genutzt werden können sollen.
    Die werden aber nicht alle in C++ geschrieben, sondern in anderen Prorgrammiersprachen und C Funktionen sind hier eben als Schnittstelle am kompatibelsten, weil jede andere Sprache diese aufrufen kann.
    Bei C++ wird es schwierig.

    0
  • ?

    SeppJ schrieb:

    Artchi schrieb:

    Glaubt ihr wirklich, das MS absichtlich Sicherheitslücken einbaut?

    Das ist eigentlich sogar so gut wie gesichert, dass sie das machen muessen.
    http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act
    Das ist von 1994! Glaubst du wirklich, dass es so etwas mittlerweile nicht auch fuer saemtliche Software gibt?

    Daran sind nur US Firmen gebunden.

    0
  • ?

    audacia schrieb:

    asdfasdf schrieb:

    audacia schrieb:

    (TrueCrypt ist immer noch unauditiert.)

    breaking news: http://istruecryptauditedyet.com/

    Wunderbar! 🙂 Im Appendix mußte ich kurz lächeln, weil die Auditoren doch sehr ihre Coding-Style-Präferenzen empfehlen. Sonst ist es doch ein guter Anfang.

    Die Seite ist von der NSA damit die User sich in Sicherheit zu wiegen, weil sie nun glauben können, dass von TC endlich ein Codeaudit gemacht wird. 🤡

    Mir wäre es lieber, wenn z.B. der CCC so einen Audit machen würde.

    0
  • T

    NSA loves Heartbleed schrieb:

    Beim *Fehler finden* hilft mir der Quelltext wenig bzw hat keine gutes Kosten/Nutzen Verhältnis vom Zeitaufwand her

    Ein Geheimdienst wird diese Zeit haben und sie auch investieren.

    Ich kann mir sogar vorstellen, dass die Werkzeuge zur statischen und dynamischen Analyse von C, C++ und auch Binaries entwickeln. Diese Werkzeuge analysieren dann sämtliche jemals veröffentlichte Software. Menschen sortieren nur noch die False Positives aus und verbessern dann die Werkzeuge.

    Die NSA hätte auch ohne besondere Werkzeuge Heartbleed finden können. Es ist anzunehmen, dass in OpenSSL noch dutzende ähnliche Fehler schlummern. Es ist also nur eine Frage der Zeit, bis die gefunden worden sind. Wer findet die Defekte wohl zuerst? Die harmlose OpenSSL Foundation oder eine gigantische, skrupellose Überwachungsorganisation, die versucht die Äquivalenz von Wissen und Macht zu beweisen.

    Andererseits haben Geheimdienste vielleicht gar nicht so schlaue Analysemethoden. Wer intelligent genug ist so etwas zu entwickeln, fühlt sich wahrscheinlich nicht wohl in einer zwielichtigen Organisation.

    0
  • A

    Achtung schrieb:

    Die Seite ist von der NSA damit die User sich in Sicherheit zu wiegen, weil sie nun glauben können, dass von TC endlich ein Codeaudit gemacht wird. 🤡

    Nicht auszuschließen. 😃

    Auf der Petitionsseite gab es auch grundsätzliche Einwände dagegen, daß das Audit überhaupt auf amerikanischem Boden vorgenommen wird.

    Achtung schrieb:

    Mir wäre es lieber, wenn z.B. der CCC so einen Audit machen würde.

    Mir auch.

    0
  • S

    audacia schrieb:

    @Sqwan, was soll das heißen, "sich legitimieren können"?

    Entweder durch Anwendung eines Amtes, welches durch eine Demokratisch gewählte Regierung geschaffen wurde, oder durch das halten einer Lizenz.

    TyRoXx schrieb:

    Sqwan schrieb:

    Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.

    Das ist ein Widerspruch.

    Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.

    0
  • A

    Sqwan schrieb:

    audacia schrieb:

    @Sqwan, was soll das heißen, "sich legitimieren können"?

    Entweder durch Anwendung eines Amtes, welches durch eine Demokratisch gewählte Regierung geschaffen wurde, oder durch das halten einer Lizenz.

    Ich weiß nicht, wie es dir geht, aber ich habe nicht über die Regierung abgestimmt, die die NSA verantwortet.

    Wenn dieser ganze Blödsinn vom BND ausginge, könnte ich dein Argument zumindest in den Grundzügen nachvollziehen, weil ich wenigstens theoretisch durch mein Wahlverhalten auf die Befugnisse des BND Einfluß nehmen könnte. NSA und GCHQ aber sind Behörden anderer Staaten, für mich also nicht demokratisch legimiert, aber trotzdem überwachen sie meine Kommunikation und beschneiden meine Bürgerrechte.

    Und mir ist bewußt, daß das weithin praktizierte alleinige Anprangern der NSA entweder kurzsichtig oder scheinheilig ist (je nachdem, von wem), weil der BND umfangreich kollaboriert und die Bundesregierung die Maßnahmen toleriert. Aber dennoch ist es nicht "mein" Geheimdienst, der meine Kommunikation überwacht. Wenn man unterstellt, daß der BND sich an hiesige Gesetze hält, dann bedient er sich nur bei den Kollegen. Unangenehm genug, aber es ist trotzdem nur ein Folgeproblem.

    0
  • T

    Sqwan schrieb:

    TyRoXx schrieb:

    Sqwan schrieb:

    Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.

    Das ist ein Widerspruch.

    Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.

    Es ist ganz schön naiv zu glauben, dass Massenüberwachung nur zur Verbrechensaufklärung dienen würde.

    0
  • ?

    Bei Closed Source muss gar kein Geheimdienst suchen, die lassen sich gleich die richtig dicke Software mit einbauen und verdonnern die Firma zu still schweigen.

    0

  • TyRoXx schrieb:

    Sqwan schrieb:

    TyRoXx schrieb:

    Sqwan schrieb:

    Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.

    Das ist ein Widerspruch.

    Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.

    Es ist ganz schön naiv zu glauben, dass Massenüberwachung nur zur Verbrechensaufklärung dienen würde.

    Hat er das irgendwo behauptet?

    0
  • ?

    muchmoresoftware schrieb:

    Bei Closed Source muss gar kein Geheimdienst suchen, die lassen sich gleich die richtig dicke Software mit einbauen und verdonnern die Firma zu still schweigen.

    1. Behauptung.
    2. Unterstellung.
    3. Ich weiß jetzt, dass es bei deiner Software, für die du als Softwareentwickler arbeitest, so ist.

    0
Anmelden zum Antworten