Was mir zuächst einmal auffällt, ist dass der Artikel entgegen der Überschrift offenbar nur zu einem kleinen Teil über „Open Source-Software“ handelt. Ich zitiere mal ein paar Stellen:
> „Wir ermitteln ja nicht gegen die Firma. Wir wollen Hacker aufspüren. [...]“ Das ist aber beunruhigend, wenn sie gegen Leute mit Ethik [1] vorgehen wollen. Die Cracker können also unbehelligt weitermachen. > „Ich habe Angst, aber weiß nicht genau wovor.“ Denn die Bedrohungslage ist > extrem komplex geworden. „Früher war alles auf einen Großcomputer in einem > abgeschlossenen Raum. Heute sind die Daten rund um die Welt verteilt.“ Daten wandern nicht von allein in die „Cloud“. Deren Einsatz ist eine bewusste Entscheidung, man braucht sich dann auch nicht über die Gefahren zu wundern. „there is no cloud, just other people's computers“ – man kann sich aber auch bewusst für eine *freie* „Cloud“-Lösung (ich denke z. B. an Owncloud) entscheiden und braucht sich bei korrekter Einrichtung dann keine Sorgen mehr machen, ob die Daten irgendwo herumschwirren. vgl. auch das User Data Manifesto [2]. > Wichtige Bereiche der Netzwerke werden „unsichtbar“ gemacht. Ein > Eindringling findet dann kaum noch etwas Interessantes vor. Das hört sich für mich ja eher nach dem Konzept „security by obscurity“ an. Wichtiger wäre ja einfach eine verschlüsselte Übertragung. > Die Herausforderungen wachsen dabei überproportional. Besonders die Zunahme > von „Open Source“-Software ist ein Problem. Interessant, dass gerade durch die Netzwerkverschleierung die Herausforderungen der Aufwand höher wird was das dann mit freier Software zu tun haben soll… > Durch sie wird die Erstellung von Apps schneller und preisgünstiger, aber > „man weiß nie, wer wirklich was programmiert hat und wo Lücken sein > könnten.“ Klingt für mich so, als wenn schlecht bezahlte Programmierer in „Billiglohnländern“ irgendetwas zusammenkopieren. Sind daraus nicht auch schon ein paar GPL-Verletzungen resultiert? Insofern ist hier bessere Kontrolle seitens der Firmen in der Tat erstrebenswert. Allerdings halte ich es für schlichtweg falsch, zu sagen, man könne nicht wissen, wer was gecodet hat. Genau andersherum wird ein Schuh daraus: z. B. in [3] kann man sehr gut sehen, welche Zeilen zuletzt von wem bearbeitet wurden. Bei proprietärer Software hingegen kann man nicht so ohne Weiteres in Erfahrung bringen, von welchem Dienstleister oder sogar Programmierer welcher Code eingeflossen bzw. wie oben gesagt zusammengeschustert worden ist. > Die angegriffene Software [es geht um DROWN] ist Open Source, sie steht also > offen jedem kostenlos und frei zur Verfügung – und wird in tausenden > Unternehmen eingesetzt . Wenn ich das richtig sehe, ist der Kern dieses Angriffs, dass einfach das veraltete SSLv2 benutzt wird und dadurch die Lücke auftritt [4], [5]. Ein zeitgemäß konfigurierter Webserver ist demzufolge gar nicht erst davon betroffen (so wie bei FREAK, POODLE und Logjam wohl auch). Vor diesem Hintergrund verstehe ich auch nicht wirklich den Medienrummel darum, es würde doch auch genügen, deutlich darauf hinzuweisen, dass man seinen Web- oder Mailserver noch einmal auf seine Konfiguration überprüfen sollte. > Die angegriffene Software ist Open Source, sie steht also offen jedem > kostenlos und frei zur Verfügung – und wird in tausenden Unternehmen > eingesetzt. a) Handelt es sich (nach meiner Interpretation) vielmehr um eine Schwäche des Protokolls SSLv2 und somit nicht einer bestimmten Software, obschon einige Versionen von OpenSSL eine noch billigere Variante dieses Angriffs ermöglichen. b) Was ist mit Windows (nur als Beispiel)? Es ist *nicht* frei, wird aber auch von tausenden Unternehmen eingesetzt. Ist es jetzt deswegen sicherer? Wie man sieht, ist der oben zitierte Satz also keine sinnvolle Folgerung. > Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist, > Fehler zu finden oder zu beheben. Bei freien Softwareprojekten gibt es immerhin i. d. R. Bugtracker mit Leuten, die bereit sind, sich darum zu kümmern. Kann mir dagegen z. B. mal jemand sagen, wo der öfentliche Bugtracker von Microsoft oder Apple ist? Anfragen direkt per Mail könnten ja auch genauso gut ungesehen im Sande verlaufen… > „Ich bin sicher“, so der Sicherheitschef von SAP, „dass wir große > Unternehmen scheitern sehen werden, weil sie es versäumen, Sicherheit für > sich als wichtiges Unterscheidungsmerkmal in ihrer Branche > herauszuarbeiten.“ Bei Unternemen wie Antivirenherstellern, die sich ja schon nominell zweifelsohne „Sicherheit“ auf die Fahne geschrieben haben, sieht man das ja sehr gut: es gab bisher kaum einen, der nicht selber mal eine Panne hatte. Ein Beispiel davon ist in [6]. (Darüber hinaus ist Sicherheit ja auch kein käuflich erwerbbares Produkt, sondern ein Prozess, bei dem meiner Meinung nach freie Software unverzichtbar ist.) Das soll erstmal genügen, Gruß Benedikt [1] https://www.gnu.org/philosophy/rms-hack.html [2] https://userdatamanifesto.org/ [3] https://github.com/torvalds/linux/blame/master/kernel/audit.c (Ich weiß, das ist Github, welches wiederum proprietär ist, aber das Prinzip mit der öffentlich einsehbaren Versionskontrolle sollte erkennbar sein und auf den "fancy" git-Services (Github, Gitlab, Gogs) ist es schöner zu sehen. Des Weiteren halte ich den Linux-Kernel für ein besonders gutes Beispiel, da dort die Beiträge signiert werden, so dass nicht einfach jeder Dahergelaufene seinen obskuren Code abladen kann.) [4] https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/ [5] https://drownattack.com/#faq-details [6] http://www.spiegel.de/netzwelt/netzpolitik/kaspersky-virenjaeger-entdeckt-virus-bei-sich-selbst-a-1037898.html _______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de