Re: [Debian]:Zeitschrift: Linuxer sind Kulturverweigerer!
* Jens Benecke schrieb am 22.Mai.2000:
> On Sun, May 21, 2000 at 01:47:10PM +0200, Stefan Nobis wrote:
> > Jens Benecke <jens@pinguin.conetix.de> writes:
> > > Das ist richtig - aber umgekehrt stimmt es: Du hast quasi automatisch
> > > ein sichereres System, wenn es open source ist bzw. der Quellcode
> > > _irgendwie_ offenliegt. Das ist IMHO der springende Punkt.
> > Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren und
> Falsch formuliert, ok. Mit OSS hast du automatisch die MÖGLICHKEIT auf ein
> sicheres system,
Die Möglichkeit ja, aber nur dann, wenn Du auch wirklich den Quellcode
Stück für Stück durchgehst. Bei wirklich Sicherheitsrelevanter
Software wird das auch gemacht. Mit etlichen tausend Mannstunden. Für
den Heimanwender oder einem kleinen oder mittleren Unternehmen kommt
es aber nicht in Frage.
> weil Dir keiner etwas vorenthalten kann. Es gibt keinen
> OSS-Entwickler, der Sicherheitslücken erst dann bekanntmacht, wenn er einen
> Fix dafür hat
Dafür würde ich aber nicht die Hand ins Feuer legen. Um Deine Aussage
zu widerlegen brauche ich doch nur einen einzigen.
> - und es gibt keinen OSs-Entwickler, der andere verklagt,
> weil sie "interne Firmengeheimnisse" (sprich Bugs) der Software
> veröffentlicht haben.
Das glaube ich schon ehr.
> Microsoft macht beides.
Microsoft sind nicht die Einzigen, die Closed-Source-Software
produzieren. IBM werden, bzw. wurden ähnliche üblen Sachen
vorgeworfen, von HP, Sun oder Simens habe ich da noch nichts gehört.
> > Probleme. So kann man OSS-Software sehr viel leichter manipulieren -- man
> eben nicht. Hast du schon mal einen trojaned gcc gesehen?
Das ist kein Argument.
> OSS-Trojaner haben eine Lebenszeit von einigen Stunden und verlassen dank
> MD5 und PGP kaum überhaupt erstmal den gehackten FTP-server auf dem sie
> eingeschleust wurden.
Ich behaupte einfach mal, wenn Linus oder Alan von irgendwas wildes
gebissen würden, und sie auf einmal auf die Idee kämen, einen fiesen,
gemeinen Trojaner zu installiren, der sich erst bemerkbar machte, wenn
er schon alles infiziert hätte, ich glaube, daß würde keiner merken,
wenn sie es nur geschickt genug anstellten.
Ergo, Abhängigkeiten hast Du auch bei OSS.
> Das liegt aber _auch_ (natürlich) an der Integrität und Vorsicht der
> FTP-Maintainer. Die wissen um die Wichtigkeit ihres Jobs...
Ach so. Und darauf willst Du Dich verlassen? Für den Heimanwender mag
das reichen, aber für wirklich Sicherheitsrelevante Software nicht.
> > hat ja den Source und muss nicht mit dem Debugger muehsam an Patchen
> > arbeiten oder alles nachprogrammieren. Niemand kann dir garantieren, dass
> > der Quelltext, den du da gerade heruntergeladen hast, wirklich d..
> > -- ..r weiss schon, was man da bekommt.
> Wie gesagt: Natürlich ist es möglich, aber warum PASSIERT ES NIE?
Warum machen wir hier Hochwasserschutz? Warum proben Feuerwehren
Großalarm in Chemiewerken? Warum halten Astronomen Ausschau nach
Meteorieten, die auf der Erde stürzen könnten? Usw. usf.
> Das letzte was ich mitbekommen habe, (und ich lese u.a. bugtraq) war ein
> Hack von PAM, der die UID und das Passwort eines jeden sich anmeldenden
> Users an eine Hotmail-Adresse schickte. Lebenszeit: 2h58min :-) danach war
> das Teil runter, der Entwickler hatte via PGP&MD5 eine neue Version oben,
> der FTP server war dicht und alle Mirrors waren updated.
Und alle Anwender haben dann auch das neue Teil gezogen? Das ist doch
das Problem. Noch nicht mal hier. Da war ein verseuchtes Teil ja nur
knapp drei Stunden auf dem Server. Vielmehr bei Bugs. Software mit
Bugs liegen viel länger auf den Servern. Viele User und auch Sysadmins
ziehen sich diese Teile runter, oder Distributoren pressen es auf CD.
Wenn es denn zu einem Fix kommt, dann holen es doch nur die wenigsten
ebenfalls herunter. Oder kontrollierst Du all Deine Pakete, ob sich da
nicht was getan hat?
Ein Angreifer mit Ideen kann es ausnutzen. Vielleicht erkennt er ja
auch einen Bug, der noch keiner sonst gefunden hat. Das ist bei OSS
jedenfalls leichter als bei Closed-Source-Software.
> > Damit hat man letztlich also ein viel unsicheres System als bei
> > closed-source.
Das würde ich so allerdings auch nicht sagen.
> Tja, theoretisch schon, aber praktisch komischerweise überhaupt nicht. Also
> muß es noch weitere Hintergründe geben.
Ja, z.B. das Windows auf dem Heimanwender-Markt viel weiter verbreitet
ist als Linux oder ein anderes OSS-System.
> Das erkennen mittlerweile selbst die dt. Politiker: NUR offener Quelltext
> GARANTIERT dir, daß das Programm was Du einsetzt, auch das tut, was es soll
> und weder Bugs noch Lücken noch Trojaner enthält.
Ja, das gilt aber nur, wenn man es überprüft. Ich hoffe sehr, daß im
Verteidigungsministerium Experten sitzen und die Software, die über
den Start von Atomraketen wacht, sehr, sehr genau überprüft.
> > Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja Monate,
> > um ueberhaupt einen Ueberblick zu bekommen.
> Du, ja.
Das braucht wohl jeder. Eine Überprüfung kann nicht in kurzer Zeit
geschehen. Es geht ja nicht um eine Funktionsprüfung, sondern um eine
Prüfung auf versteckte Fallen. Da muß jede noch so Blödsinnige
Funktion überprüft werden.
Außerdem muß nicht nur überprüft werden, ob die Software selber
bösartig ist, sondern auch, ob sie Schlupflöscher für Angreifer läßt,
und seien die noch so ausgefallen.
> > Also dieses blinde Vertrauen in OSS kann ich bis heute nicht
> > nachvollziehen. Nur durch die Offenlegung von Quelltext wird keine
> > Software besser oder sicherer.
> Ich vertraue einem OSS-source ganz einfach deshalb mehr als closed-source,
> weil _jeder_ die _Möglichkeit_ hat reinzugucken. "Given enough eyeballs,
> all bugs are shallow." -- Linus
Es geht um blindes Vertrauen. Und da muß man aufpassen. Auch bei OSS
kann es sehr viele Fallen geben.
Und einfach nur sagen, ich habe OSS, mir kann nichts passieren, ist
blindes Vertrauen.
> > blauaeugig zu behaupten, OSS waere automatisch besser oder sicherer.
> Nicht wenn der Anwender die Vorteile auch nutzt. Klar. Wenn jemand
> absichtlich einen wu-ftpd von vor zwei Jahren installiert, ist es kein
> Wunder, wenn er irgendwann geDOSt und dann gehackt wird.
Er braucht doch bloß zwei Jahre nichts zu machen. Das reicht doch.
Ständig neue Software aufspielen birgt auch ein Risiko.
> > Nochmals: Sicherheit ist kein Zustand, sondern ein Prozess. Und damit
> > bringt die Offenlegung des Quelltextes erstmal absolut nichts. Ich
> Solange keiner reinguckt, richtig. Nur ist das leider (GOTTSEIDANK!)
> überhaupt nicht die Praxis.
Ach Du schaust immer in den Quelltexten?
> Microsoft hat ja reagiert - der neue "Security Patch" läßt Outlook _alle_
> EXE und VBS Attachments _LÖSCHEN_, ohne den Benutzer zu fragen. Das ist
> Innovation: Emails ohne Attachments!! Selbstlöschende Attachments! Boah.
Geht es hier um OSS vs. CSS oder geht es um die Bevormundung der User
seitens M$? Wie gesagt, M$ ist nicht der einzige CSS Hersteller.
Es muß doch mal endlich definiert werden, um welche Sicherheit es
geht. Sicherheit vor eigener Dummheit, vor Naturkatastrophen oder um
Sicherheit gegenüber Angreifer. Bei letzteren muß man unterscheiden
zwichen Angreifer von Innen und Angreifer von Außen. Bei beidern
wiederum zwichen bewußte Angriffe, oder um Dummheiten. Bei bewußte
Angriffe muß man unterscheiden nach dem Ziel. Soll nur zerstört werden
oder Code verändert werden oder ausspioniert. Wenn Code veränder
werden soll, dann muß weiter gefragt werden aus welchen Zweck. Um ein
Virus zu installieren, oder um zu denunzieren oder was weiß ich.
Außerdem muß gefragt werden, soll vor Spielkiddies geschützt werden,
die ja keinen unerheblichen Schaden veranstalten können, sieh ILOVEYOU
oder soll vor ausländische Dienste geschützt werden, die mit einem
unglaublichen Potetial von Manpower angreifen.
Je nachdem, um was es sich dreht kommt man zu anderen Lösungen.
Bernd
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 737
Reply to: