On Sun, May 21, 2000 at 01:47:10PM +0200, Stefan Nobis wrote:
> Jens Benecke <jens@pinguin.conetix.de> writes:
>
> > Das ist richtig - aber umgekehrt stimmt es: Du hast quasi automatisch
> > ein sichereres System, wenn es open source ist bzw. der Quellcode
> > _irgendwie_ offenliegt. Das ist IMHO der springende Punkt.
> Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren und
Falsch formuliert, ok. Mit OSS hast du automatisch die MÖGLICHKEIT auf ein
sicheres system, weil Dir keiner etwas vorenthalten kann. Es gibt keinen
OSS-Entwickler, der Sicherheitslücken erst dann bekanntmacht, wenn er einen
Fix dafür hat - und es gibt keinen OSs-Entwickler, der andere verklagt,
weil sie "interne Firmengeheimnisse" (sprich Bugs) der Software
veröffentlicht haben.
Microsoft macht beides.
> Probleme. So kann man OSS-Software sehr viel leichter manipulieren -- man
eben nicht. Hast du schon mal einen trojaned gcc gesehen?
OSS-Trojaner haben eine Lebenszeit von einigen Stunden und verlassen dank
MD5 und PGP kaum überhaupt erstmal den gehackten FTP-server auf dem sie
eingeschleust wurden.
Das liegt aber _auch_ (natürlich) an der Integrität und Vorsicht der
FTP-Maintainer. Die wissen um die Wichtigkeit ihres Jobs...
> hat ja den Source und muss nicht mit dem Debugger muehsam an Patchen
> arbeiten oder alles nachprogrammieren. Niemand kann dir garantieren, dass
> der Quelltext, den du da gerade heruntergeladen hast, wirklich d..
> -- ..r weiss schon, was man da bekommt.
Wie gesagt: Natürlich ist es möglich, aber warum PASSIERT ES NIE?
Das letzte was ich mitbekommen habe, (und ich lese u.a. bugtraq) war ein
Hack von PAM, der die UID und das Passwort eines jeden sich anmeldenden
Users an eine Hotmail-Adresse schickte. Lebenszeit: 2h58min :-) danach war
das Teil runter, der Entwickler hatte via PGP&MD5 eine neue Version oben,
der FTP server war dicht und alle Mirrors waren updated.
Und so lange hats auch nur gebraucht, weil der FTP Admin gerade schlief. :)
> Damit hat man letztlich also ein viel unsicheres System als bei
> closed-source.
Tja, theoretisch schon, aber praktisch komischerweise überhaupt nicht. Also
muß es noch weitere Hintergründe geben.
Das erkennen mittlerweile selbst die dt. Politiker: NUR offener Quelltext
GARANTIERT dir, daß das Programm was Du einsetzt, auch das tut, was es soll
und weder Bugs noch Lücken noch Trojaner enthält.
> erstmal nur die reine *Moeglichkeit* bietet, dass sehr viele Experten den
> Quelltext analysieren. Daraus folgt noch lange nicht, dass dies wirlich
> geschieht. Und wie oft hast du schon den Source der von dir benutzten
> Software analysiert?
Ich kenne mittlerweile mehrere Firmen, die Linux Kernel + Tools + Compiler
+ ... einem kompletten Audit unterzogen haben. Man liest davon ab und an
wieder in der kernel-dev Mailingliste, wenn einer der Typen sich meldet und
einen potentialen overflow meldet oder sowas.
> Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja Monate,
> um ueberhaupt einen Ueberblick zu bekommen.
Du, ja.
> Also dieses blinde Vertrauen in OSS kann ich bis heute nicht
> nachvollziehen. Nur durch die Offenlegung von Quelltext wird keine
> Software besser oder sicherer.
Ich vertraue einem OSS-source ganz einfach deshalb mehr als closed-source,
weil _jeder_ die _Möglichkeit_ hat reinzugucken. "Given enough eyeballs,
all bugs are shallow." -- Linus
> blauaeugig zu behaupten, OSS waere automatisch besser oder sicherer.
Nicht wenn der Anwender die Vorteile auch nutzt. Klar. Wenn jemand
absichtlich einen wu-ftpd von vor zwei Jahren installiert, ist es kein
Wunder, wenn er irgendwann geDOSt und dann gehackt wird.
> Nochmals: Sicherheit ist kein Zustand, sondern ein Prozess. Und damit
> bringt die Offenlegung des Quelltextes erstmal absolut nichts. Ich
Solange keiner reinguckt, richtig. Nur ist das leider (GOTTSEIDANK!)
überhaupt nicht die Praxis.
> habe ich durch OSS wirklich einen Vorteil. Und es gibt eine Menge OSS,
> bei denen nur die Hauptentwickler in den Sourcen arbeiten. Und dort habe
> ich gegenueber closed-source erstmal keinen echten und direkten Vorteil.
Wie gesagt, also wenigstens die "großen"_ projekte (kernel, apache, samba,
PAM, NIS, usw usw usw) haben schon einige hundert komplett unabhängige
audits hinter sich - in verschiedenen Versionen. Ich vertraue einer Firma,
dies tut, weil sie den Krempel selbst für mission-critical Krempel
einsetzen will mehr, als einer Firma, die dafür -womöglich noch von der
Herstellerfirma- bezahlt wird.
> > Weißt Du, ich kenne "einige" Admins die für den internen Einsatz im
> > Outlook-Source die Funktion zum Öffnen von Attachments mit einem
> > erzwungenen Virenscan verknüpfen (oder ganz deaktivieren) würden, wenn
> Wenn ich mich recht erinnere (ohne Outlook jetzt genau zu kennen)
> unterstuetzt es doch Plugins fuer alles Moegliche. Das gewuenschte sollte
> sich also durchaus in irgendeiner Form realisieren lassen.
Offensichtlich nicht, jedenfalls nicht wie besagter es wollte.
> Ich kenne eine Menge Leute (mich eingeschlossen), die wuerde gerne eine
> Menge Dinge tun -- tun sie aber letztlich doch nicht. Offen gesagt: Ich
> halte obiges nur fuer ein vorgeschobenes Argument. Zumal die Nutzer
> anschliessend Sturm laufen wuerden. Selbst MS wuerde Attachments in
> Outlook nicht implentieren und standardmaessig aktivieren, wenn die User
> das nicht haben wollten.
Microsoft hat ja reagiert - der neue "Security Patch" läßt Outlook _alle_
EXE und VBS Attachments _LÖSCHEN_, ohne den Benutzer zu fragen. Das ist
Innovation: Emails ohne Attachments!! Selbstlöschende Attachments! Boah.
> Und selbst Sun musste Javas Sandbox aufweichen, weil die User unbedingt
> mehr Komfort haben wollten.
Tja, unter manchen Systemen hat MS wohl recht - bei Windows muß es wohl
wirklich einen trade off zwischen Sicherheit und Komfort geben.
> > Du mußt aber zugeben, daß NT by default deutlich löchriger ausgeliefert
> > wird als eine typische Linux-Distro. Oder liegt bei Dir standardmäßig
> > /usr auf "drwxrwxrwx"? :-) (nur so als blödes Beispiel)
> Hmmm.... na ja, vielleicht. Ich habe das noch nie im Detail untersucht.
> Eine typische Linux-Distro hat auch so etliche Probleme. War da nicht mal
> was mit einer Linux-Distro, die standardmaessig "/" per NFS an alle Welt
> exportiert hat? Ist das vielleicht weniger schlimm?
Wenn es die gäbe, würde ich die CD an die Wand nageln und dann als
Dartboard benutzen - mit Harpunen :-)
Installiere LinuxPPC, das Teil ist standardmäßig so dicht, daß es bei
diesem "hack-mich-webserver-test" ohne Modifikation (und ohne Absturz, bis
auf einen Hardwareschaden) locker win2k überlebt hat - und an win2k wurde
ständig rumgedoktert. Der Admin hat schließlich sogar finger und telnet
geöffnet, damit die Sache "etwas interessanter wird" :-)
Problem: Wenn du unter NT c:\programme absolut dicht machst, läuft fast
keine Software mehr. Es gibt massig NT PRogramme, die _müssen_ in \winnt
UND in $appdir schreiben können, damit sie _überhaupt_ funktionieren.
> > "Was ich viel lieber wissen möchte: Wann zahlt Microsoft für den
> > Milliarden- Schaden, den die fehlenden Sicherheitsvorkehrungen von
> > Windows & Outlook angerichtet haben? Und warum werden von den
> > betroffenen Firmen bloß die Symptome bekämpft, anstatt endlich mal
> > sichere (non-MS) Software einzusetzen?"
> Genau solche Sprueche meine ich: Das ist so pauschal einfach Unsinn.
Warum?
--
Microsoft is a cross between The Borg and the Ferengi. Unfortunately they
use Borg to do their marketing and Ferengi to do their programming.
-- Simon Slavin, in the Monastery.
Attachment:
pgpGfQoibE0Kg.pgp
Description: PGP signature