On Mon, May 22, 2000 at 12:51:54PM +0200, Bernd Brodesser wrote:
> * Jens Benecke schrieb am 22.Mai.2000:
> > On Sun, May 21, 2000 at 01:47:10PM +0200, Stefan Nobis wrote:
> > > Jens Benecke <jens@pinguin.conetix.de> writes:
> > > > Das ist richtig - aber umgekehrt stimmt es: Du hast quasi
> > > > automatisch ein sichereres System, wenn es open source ist bzw. der
> > > > Quellcode _irgendwie_ offenliegt. Das ist IMHO der springende
> > > Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren
> > Falsch formuliert, ok. Mit OSS hast du automatisch die MÖGLICHKEIT auf
> > ein sicheres system,
> Die Möglichkeit ja, aber nur dann, wenn Du auch wirklich den Quellcode
> Stück für Stück durchgehst. Bei wirklich Sicherheitsrelevanter Software
Richtig. Die Wahrscheinlichkeit, daß die hunderte von Firmen, die Linux
mittlerweile komplett audited haben, und die hunderttausenden von Hackern
weltweit, etwas übersehen haben, ist mir aber klein genug - jedenfalls ist
sie deutlich kleiner als die Chance, daß die 20-150 Entwickler, die nur vor
der Kiste hocken weil sie müssen, etwas entdecken.
> wird das auch gemacht. Mit etlichen tausend Mannstunden. Für den
> Heimanwender oder einem kleinen oder mittleren Unternehmen kommt es aber
> nicht in Frage.
Komischerweise TUN es aber viele. Die Franzosen beispielsweise, sehr
intensiv.
> > weil Dir keiner etwas vorenthalten kann. Es gibt keinen OSS-Entwickler,
> > der Sicherheitslücken erst dann bekanntmacht, wenn er einen Fix dafür
> Dafür würde ich aber nicht die Hand ins Feuer legen. Um Deine Aussage zu
> widerlegen brauche ich doch nur einen einzigen.
Wenn es einen gäbe, wäre das seine letzte Stunde in der Gemeinde:
Beschränken wir uns von mir aus auf "es gibt keinen, der seine Aufgabe
ernst nimmt".
> > - und es gibt keinen OSs-Entwickler, der andere verklagt, weil sie
> > "interne Firmengeheimnisse" (sprich Bugs) der Software veröffentlicht
> Das glaube ich schon ehr.
> > Microsoft macht beides.
> Microsoft sind nicht die Einzigen, die Closed-Source-Software
> produzieren. IBM werden, bzw. wurden ähnliche üblen Sachen vorgeworfen,
> von HP, Sun oder Simens habe ich da noch nichts gehört.
ACK
> > > Probleme. So kann man OSS-Software sehr viel leichter manipulieren --
> > eben nicht. Hast du schon mal einen trojaned gcc gesehen?
> Das ist kein Argument.
Gut erkannt, das ist nämlich ein Beispiel.
> > OSS-Trojaner haben eine Lebenszeit von einigen Stunden und verlassen
> > dank MD5 und PGP kaum überhaupt erstmal den gehackten FTP-server auf
> > dem sie eingeschleust wurden.
> Ich behaupte einfach mal, wenn Linus oder Alan von irgendwas wildes
> gebissen würden, und sie auf einmal auf die Idee kämen, einen fiesen,
> gemeinen Trojaner zu installiren, der sich erst bemerkbar machte, wenn er
> schon alles infiziert hätte, ich glaube, daß würde keiner merken, wenn
> sie es nur geschickt genug anstellten.
ich halte es für wahrscheinlicher, daß ich in den nächsten 5 Minuten 10
Millionen Mark im Lotto gewinne, obwohl ich gar nicht mitgespielt habe.
> Ergo, Abhängigkeiten hast Du auch bei OSS.
Ja, aber ich bin lieber von 100.000 voneinander unabhängigen Leuten
"abhängig", als von 100, von denen 99 zu einem hochgucken.
> > Das liegt aber _auch_ (natürlich) an der Integrität und Vorsicht der
> > FTP-Maintainer. Die wissen um die Wichtigkeit ihres Jobs...
> Ach so. Und darauf willst Du Dich verlassen? Für den Heimanwender mag das
> reichen, aber für wirklich Sicherheitsrelevante Software nicht.
Richtig: Siehe Auditing.
> > > hat ja den Source und muss nicht mit dem Debugger muehsam an Patchen
> > > arbeiten oder alles nachprogrammieren. Niemand kann dir garantieren,
> > > dass der Quelltext, den du da gerade heruntergeladen hast, wirklich
> > > d.. -- ..r weiss schon, was man da bekommt.
> > Wie gesagt: Natürlich ist es möglich, aber warum PASSIERT ES NIE?
> Warum machen wir hier Hochwasserschutz? Warum proben Feuerwehren
> Großalarm in Chemiewerken? Warum halten Astronomen Ausschau nach
> Meteorieten, die auf der Erde stürzen könnten? Usw. usf.
Auditing. Lies linux-kernel.
> > Das letzte was ich mitbekommen habe, (und ich lese u.a. bugtraq) war
> > ein Hack von PAM, der die UID und das Passwort eines jeden sich
> > anmeldenden Users an eine Hotmail-Adresse schickte. Lebenszeit: 2h58min
> Und alle Anwender haben dann auch das neue Teil gezogen? Das ist doch das
Kein Anwender hat das Teil jemals zu Gesicht bekommen. Keine Distribution
hat das Teil jemals downgeloaded, und an keinem Betatest wäre es
vorbeigekommen, WENN es denn überhaupt soweit gekommen wäre.
PS: Der Hack hat sich nicht aktiviert. Er wurde entdeckt, bevor die
Schadensroutine losging. D.h. er wurde nicht via sendmail-logfiles
"entdeckt", sondern früher.
Es gibt halt doch noch jede Menge Leute, die sich pam_login.c durchlesen,
bevor sie auf ihrem Rechner damit rumhacken.
> Problem. Noch nicht mal hier. Da war ein verseuchtes Teil ja nur knapp
> drei Stunden auf dem Server. Vielmehr bei Bugs. Software mit Bugs liegen
> viel länger auf den Servern. Viele User und auch Sysadmins ziehen sich
> diese Teile runter, oder Distributoren pressen es auf CD. Wenn es denn
> zu einem Fix kommt, dann holen es doch nur die wenigsten ebenfalls
> herunter. Oder kontrollierst Du all Deine Pakete, ob sich da nicht was
> getan hat?
00 0 * * * root apt-get -c=/etc/apt/security-updates.conf update && apt-get -c=/etc/apt/security-updates.conf -y upgrade
> Ein Angreifer mit Ideen kann es ausnutzen. Vielleicht erkennt er ja auch
> einen Bug, der noch keiner sonst gefunden hat. Das ist bei OSS jedenfalls
> leichter als bei Closed-Source-Software.
Erstes Mantra bei Sicherheitslöchern: Die Bösen Jungs(tm) entdecken ihn
grundsätzlich zuerst. Egal ob open source oder nicht. Nur haben die Guten
Jungs(tm) bei OSS deutlich bessere Chancen, a) an den Code ranzukommen, b)
den Bug zu beheben und dann auch noch c) ihre Systeme so SCHNELL wie
möglich wieder abzudichten.
<übertrieben>
Wenn bei IBM oder MS in einer Software abends um 23h ein Bug entdeckt wird
wartet erstmal alle Welt auf 9:00, Büroanfang. Dann wird diskutiert und
organisiert usw. Dann wird ein Team zusammengestellt das sich darum
kümmert. Dann werden Ressourcen angefordert, Rechner installiert, Tests
durchgeführt, PR-Abteilungen gefoltert, usw. Und ALLE, die diese Software
einsetzen, hängen solange mit den Fingern im Fleischwolf und können den
Schalter nicht erreichen.
Bis dahin hat jemand, der den Source hat und der auf einen Fix ANGEWIESEN
ist, schon längst einen Fix veröffentlicht, der von k*1.000 Leuten weltweit
geprüft wurde und ein paar Tage später gibts das betroffene Paket
wahrscheinlich als patched recompile von den meisten Distros.
</übertrieben>
> > Tja, theoretisch schon, aber praktisch komischerweise überhaupt nicht.
> > Also muß es noch weitere Hintergründe geben.
> Ja, z.B. das Windows auf dem Heimanwender-Markt viel weiter verbreitet
> ist als Linux oder ein anderes OSS-System.
Linux hat bei Apache-Webservern laut Netcraft im Augenblick etwas über 30%.
Apache liegt bei etwa 70%. Server-Systeme sind weitaus gefährlicher was
Sicherheit anbelangt als Computer, die im Zimmer 2 Stunden die Woche mit
einer Modemleitung, dynamischer IP und kaum laufenden Servern im Netz
hängen.
> > Das erkennen mittlerweile selbst die dt. Politiker: NUR offener
> > Quelltext GARANTIERT dir, daß das Programm was Du einsetzt, auch das
> > tut, was es soll und weder Bugs noch Lücken noch Trojaner enthält.
> Ja, das gilt aber nur, wenn man es überprüft. Ich hoffe sehr, daß im
Richtig, und das wird ja getan. Und von Leuten, denen ich deutlich mehr
vertraue als der Firma, die ein Produkt nicht nur herstellt, sondern auch
vermarkten will/muß.
> > > Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja
> > > Monate, um ueberhaupt einen Ueberblick zu bekommen.
> > Du, ja.
> Das braucht wohl jeder. Eine Überprüfung kann nicht in kurzer Zeit
> geschehen. Es geht ja nicht um eine Funktionsprüfung, sondern um eine
> Prüfung auf versteckte Fallen. Da muß jede noch so Blödsinnige Funktion
Das ist richtig. Aber OSS hat für sowas genügend Ressourcen. Jedes
lisp-source hat einen Maintainer, oder jemand, der es wartet. Jedes
Distributionspaket hat einen Maintainer, der sich dafür verantwortlich
fühlt. Was meinst Du, wie schnell solche Leute quasi netztot sind, wenn sie
absichtlich Trojaner in "ihre" Pakete einbauen.
> > > Also dieses blinde Vertrauen in OSS kann ich bis heute nicht
> > Ich vertraue einem OSS-source ganz einfach deshalb mehr als
> > closed-source, weil _jeder_ die _Möglichkeit_ hat reinzugucken. "Given
> > enough eyeballs, all bugs are shallow." -- Linus
> Es geht um blindes Vertrauen. Und da muß man aufpassen. Auch bei OSS kann
> es sehr viele Fallen geben. Und einfach nur sagen, ich habe OSS, mir
> kann nichts passieren, ist blindes Vertrauen.
Richtig, aber zu sagen, "mir kann deutlich WENIGER pasieren, _weil_ ..."
ist kein "blindes" Vertrauen.
> > > blauaeugig zu behaupten, OSS waere automatisch besser oder sicherer.
> > Nicht wenn der Anwender die Vorteile auch nutzt. Klar. Wenn jemand
> > absichtlich einen wu-ftpd von vor zwei Jahren installiert, ist es kein
> > Wunder, wenn er irgendwann geDOSt und dann gehackt wird.
> Er braucht doch bloß zwei Jahre nichts zu machen. Das reicht doch.
> Ständig neue Software aufspielen birgt auch ein Risiko.
Sagen wir mal so: ich betreue einige Schulen mit Software. Da steht sehr
oft ein ODS-Server der ersten Generation rum, mit Kernel 2.0.29 oder noch
schlimmer, Apache 1.2.nochwas, usw. Das Teil würde als Server im Netz kein
Admin einsetzen, der auch nur den Hauch eines Strohhalms unter der Haube
hat - aber die Kisten LAUFEN, und sie bieten nur das nötigste an, was
gebraucht wird (namentlich DNS, FTP, HTTP, Samba und Routing/NAT).
Diese Kisten werden nicht updated, weil es den Aufwand nicht lohnt. Hätte
ich die Zeit (und die Schule das Geld) würde ich denen ein vernünftiges
aktuelles System aufsetzen, was wenigstens nicht mehr _so_ veraltet ist.
Aber wozu? Es läuft doch, und offensichtlich sind die Sanktionen bei
Hackangriffen so scharf, daß es die kiddies lieber lassen.
> > > Nochmals: Sicherheit ist kein Zustand, sondern ein Prozess. Und damit
> > > bringt die Offenlegung des Quelltextes erstmal absolut nichts. Ich
> > Solange keiner reinguckt, richtig. Nur ist das leider (GOTTSEIDANK!)
> > überhaupt nicht die Praxis.
> Ach Du schaust immer in den Quelltexten?
"Keiner guckt rein" ist nicht das Gegenteil von "ich gucke rein".
> > Microsoft hat ja reagiert - der neue "Security Patch" läßt Outlook
> > _alle_ EXE und VBS Attachments _LÖSCHEN_, ohne den Benutzer zu fragen.
> > Das ist Innovation: Emails ohne Attachments!! Selbstlöschende
> > Attachments! Boah.
> Geht es hier um OSS vs. CSS oder geht es um die Bevormundung der User
> seitens M$? Wie gesagt, M$ ist nicht der einzige CSS Hersteller.
Richtig. Aber der unpopulärste. Früher wars IBM.
> Es muß doch mal endlich definiert werden, um welche Sicherheit es geht.
> Sicherheit vor eigener Dummheit, vor Naturkatastrophen oder um Sicherheit
> gegenüber Angreifer. Bei letzteren muß man unterscheiden zwichen
> Angreifer von Innen und Angreifer von Außen. Bei beidern wiederum zwich..
> .. nachdem, um was es sich dreht kommt man zu anderen Lösungen.
Das bestreite ich keineswegs.
--
Microsoft is a cross between The Borg and the Ferengi. Unfortunately they
use Borg to do their marketing and Ferengi to do their programming.
-- Simon Slavin, in the Monastery.
Attachment:
pgp6lZdmr_sFb.pgp
Description: PGP signature