Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cisco und Lancom: Wenn Spionagepanik…

Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

  1. Thema

Neues Thema Ansicht wechseln


  1. Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: derdiedas 03.10.17 - 09:30

    Denn Kerckhoffs’ Prinzip(*1) für die Verschlüsselung kann man ohne Probleme auch auf deren Implementation erweitern.

    Und nein keine Zertifizierung der Welt taugt irgendetwas - wirklich keine. Bestes Beispiel ist Hartbleed - dieser massive Bug wurde in gut 80%+ aller bis zu EAL4+ zertifizierten Lösungen implementiert.

    Klar kann auch Open Source Sicherheitslücken enthalten, nur ist es schwerer dort bewusste Hintertüren zu implementieren.

    IT Sicherheit basierend auf closed source ist ein paradox das sich niemals auflösen lassen kann. Kerkhoff hat bereits 1883 dieses für Verschlüsselung formuliert und Alan Turing hat mit dem Halteproblem das Äquivalent 1936 für die Turing Maschnine weitergedacht.

    IT Sicherheit muss mit beweisbaren Fakten starten - und wenn bereits der Quellcode auf Vertrauen denn auf Nachweis basiert - was kann man dann noch weiter darauf aufbauen?

    Gruß ddd

  2. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: serra.avatar 03.10.17 - 09:47

    tja und die Ganzen Sicherheitslücken in Open Source die teilweise erst nach Jahrzehnten aufgefallen sind ? Open Source ist toll, nur nützt dir das auch nix wenn du nicht selber in der Lage bist den Quellcode abzuklopfen!

    Denn Open Source ist nur dann sicher, wenn du selbst in der Lage bist das zu überprüfen, sonst hats du keinerlei Vorteile gegenüber closed Source ... du musst dann ebenfalls Fremden vertrauen!

    Denn theoretisch könnte jemand die Lücke finden ... ist keine Sicherheit! Also wieviel % der Bevölkerung da draußen wäre also in der Lage sowas zu finden? Deckt wohl eher den Promille Bereich als den Prozentbereich!

    _________________________________________________________________
    Gott vergibt, ich nicht!



    3 mal bearbeitet, zuletzt am 03.10.17 09:53 durch serra.avatar.

  3. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: Anonymer Nutzer 03.10.17 - 15:37

    was jedoch z.t. auch daran liegt, dass aufgabenstellungen und lösungen nicht kleinteilig genug formuliert werden bzw. vorliegen, durch 10k+ zeilen spagetticode mag sich keiner so recht durchwühlen durch ~20 zeiler welche elementar aufgaben abbilden geht das viel leichter ...

  4. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: derdiedas 03.10.17 - 17:41

    Dir ist der Unterschied zwischen unentdeckten und bewussten Sicherheitslücken klar?

    Unentdeckte Lücken kann man dadurch Entschärfen das man zwei unterschiedliche Lösungen kombiniert (Etwa zwei Firewalls hintereinander).

    Bewusste (etwa durch Zwang von Behörden) implementierte Lücken werden aufeinander abgestimmt sein, so das das kombinieren zweier Kommerzieller Lösungen diese Lücken nicht mitigiert.

    Zudem setzen 90%+ aller kommerziellen Lösungen teile von Open Source ein (Etwa Open SSH). So das der Bug den Du im Hinterkopf hast - Heart Bleed - auch fast überall in kommerziellen Lösungen implementiert wurde. Und die Monty Python Nummer ist doch das diese kommerziellen Lösungen bis EAL 4+ zertifiziert wurden. Wo ist also die QA, das angebliche Codereview bei EAL 4+ geblieben. Hat alles nicht funktioniert...

    Open Source ist nicht ohne Fehler, aber es ist immer fehlerfreier als closed source. Das liegt in der Natur der Sache.

    Gruß ddd

  5. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: RicoBrassers 04.10.17 - 08:32

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > IT Sicherheit muss mit beweisbaren Fakten starten - und wenn bereits der
    > Quellcode auf Vertrauen denn auf Nachweis basiert - was kann man dann noch
    > weiter darauf aufbauen?

    Herzlichen Glückwunsch, dir ist aber bestimmt bewusst, dass das gesamte Prinzip des verschlüsselten Traffics im Internet auf Vertrauen (CAs) basiert, oder?

  6. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: ve2000 04.10.17 - 09:13

    Open Source macht speziell dann Sinn, wenn du:
    1. im Stande bist den Code zu lesen UND zu verstehen
    2. du die Binaries selbst bauen und auch auf dem entsprechenden Gerät installieren kannst.
    Wenn nicht, wer gibt dir dann die Garantie, das der Blob auch den veröffentlichten Sourcen entspricht?

  7. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: AnonymerHH 04.10.17 - 09:57

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Open Source ist nicht ohne Fehler, aber es ist immer fehlerfreier als
    > closed source. Das liegt in der Natur der Sache.


    schwachsinn, nur weil es open source ist gucken nicht mehr gute programmierer über den code.
    sofern es nicht ein hoch populäres projekt ist gewinnt kommerziell immer, weil da ausgebildete coder sitzen die dafür bezahlt werden das projekt zu pflegen, und weil man nicht für die konkurrenz arbeiten will setzt man dann meißt auf closed source.

    in open source kannst du auch hintertüren verstecken die man kaum findet btw, du lässt dich so sehr davon blenden das theoretisch die ganze welt den code abgeklopft haben könnte das du dabei die realität vergisst: menschen sind faul und und das gehirn füllt alle lücken aus, selbst die leute die sich den sourcecode durchlesen gucken nur auf die wichtigen stellen und finden kaum was.

    die leute brauchen einen starken anreiz um den code wirklich intensiv zu prüfen, ein bug bounty programm mit hohen auszahlungen z.b. oder sie gehören zu den 0,01% der menschheit die so paranoid, fleissig und gut ausgebildet sind das sie ein open source programm komplett prüfen würden und in der lage währen die fehler zu finden, dann könnten sie es aber auch direkt selber schreiben :)

  8. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: chefin 04.10.17 - 11:56

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Dir ist der Unterschied zwischen unentdeckten und bewussten
    > Sicherheitslücken klar?
    >
    > Unentdeckte Lücken kann man dadurch Entschärfen das man zwei
    > unterschiedliche Lösungen kombiniert (Etwa zwei Firewalls hintereinander).
    >
    > Bewusste (etwa durch Zwang von Behörden) implementierte Lücken werden
    > aufeinander abgestimmt sein, so das das kombinieren zweier Kommerzieller
    > Lösungen diese Lücken nicht mitigiert.
    >
    > Zudem setzen 90%+ aller kommerziellen Lösungen teile von Open Source ein
    > (Etwa Open SSH). So das der Bug den Du im Hinterkopf hast - Heart Bleed -
    > auch fast überall in kommerziellen Lösungen implementiert wurde. Und die
    > Monty Python Nummer ist doch das diese kommerziellen Lösungen bis EAL 4+
    > zertifiziert wurden. Wo ist also die QA, das angebliche Codereview bei EAL
    > 4+ geblieben. Hat alles nicht funktioniert...
    >
    > Open Source ist nicht ohne Fehler, aber es ist immer fehlerfreier als
    > closed source. Das liegt in der Natur der Sache.
    >
    > Gruß ddd

    Genau DAS ist der trugschluss.

    Bei OpenSource MEINT man das viele drüber schauen, aus Eigennutz und so die Zahl der Kontrolleure jede kommerzielle Kontrolle übertrifft. Aber das ist falsch. Im gegenteil, dank OpenSource ist das finden und verwerten von Lücken einfacher. Und Lücken sind bares Geld.

    Firmen die kontrollieren wollen auch leistung sehen. Da weis man das beispielsweise 50 Mann jahrein jahraus Lücken suchen und fixen bzw melden.

    Ja, der Aspekt, das Lücken eingebaut werden und keiner das weis bzw findet sticht. Keine Frage. Aber das ist wie der Witz ob Alsheimer oder Parkinson schlimmer ist. beide sind gleich schlimm, weils egal ist ob du das Bier verschüttest oder vergisst wo du es hingestellt hast.

    Soll heisen: ob nun mangels Kontrolle Fehler nicht gefunden werden oder mangels Kontrollierbarkeit ist egal. OpenSource wird nämlich praktisch garnicht mehr kontrolliert. Allenfalls von denen die es programmieren. Aber wenn ich etwas falsch programmiere finde ich den Fehler auch nicht beim Kontrollieren. Das liegt in der Natur der Denkweise beim programmieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. GK Software SE, Schöneck/Vogtland, Sankt Ingbert
  2. mWGmy World Germany GmbH, Köln
  3. Dataport, Magdeburg, Halle (Saale)
  4. Hays AG, Raum Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  2. (-55%) 4,50€
  3. 39,99€ (Release am 3. Dezember)
  4. (-63%) 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27