Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cisco und Lancom: Wenn Spionagepanik…

Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

  1. Thema

Neues Thema Ansicht wechseln


  1. Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: derdiedas 03.10.17 - 09:30

    Denn Kerckhoffs’ Prinzip(*1) für die Verschlüsselung kann man ohne Probleme auch auf deren Implementation erweitern.

    Und nein keine Zertifizierung der Welt taugt irgendetwas - wirklich keine. Bestes Beispiel ist Hartbleed - dieser massive Bug wurde in gut 80%+ aller bis zu EAL4+ zertifizierten Lösungen implementiert.

    Klar kann auch Open Source Sicherheitslücken enthalten, nur ist es schwerer dort bewusste Hintertüren zu implementieren.

    IT Sicherheit basierend auf closed source ist ein paradox das sich niemals auflösen lassen kann. Kerkhoff hat bereits 1883 dieses für Verschlüsselung formuliert und Alan Turing hat mit dem Halteproblem das Äquivalent 1936 für die Turing Maschnine weitergedacht.

    IT Sicherheit muss mit beweisbaren Fakten starten - und wenn bereits der Quellcode auf Vertrauen denn auf Nachweis basiert - was kann man dann noch weiter darauf aufbauen?

    Gruß ddd

  2. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: serra.avatar 03.10.17 - 09:47

    tja und die Ganzen Sicherheitslücken in Open Source die teilweise erst nach Jahrzehnten aufgefallen sind ? Open Source ist toll, nur nützt dir das auch nix wenn du nicht selber in der Lage bist den Quellcode abzuklopfen!

    Denn Open Source ist nur dann sicher, wenn du selbst in der Lage bist das zu überprüfen, sonst hats du keinerlei Vorteile gegenüber closed Source ... du musst dann ebenfalls Fremden vertrauen!

    Denn theoretisch könnte jemand die Lücke finden ... ist keine Sicherheit! Also wieviel % der Bevölkerung da draußen wäre also in der Lage sowas zu finden? Deckt wohl eher den Promille Bereich als den Prozentbereich!

    _________________________________________________________________
    Gott vergibt, ich nicht!



    3 mal bearbeitet, zuletzt am 03.10.17 09:53 durch serra.avatar.

  3. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: ML82 03.10.17 - 15:37

    was jedoch z.t. auch daran liegt, dass aufgabenstellungen und lösungen nicht kleinteilig genug formuliert werden bzw. vorliegen, durch 10k+ zeilen spagetticode mag sich keiner so recht durchwühlen durch ~20 zeiler welche elementar aufgaben abbilden geht das viel leichter ...

  4. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: derdiedas 03.10.17 - 17:41

    Dir ist der Unterschied zwischen unentdeckten und bewussten Sicherheitslücken klar?

    Unentdeckte Lücken kann man dadurch Entschärfen das man zwei unterschiedliche Lösungen kombiniert (Etwa zwei Firewalls hintereinander).

    Bewusste (etwa durch Zwang von Behörden) implementierte Lücken werden aufeinander abgestimmt sein, so das das kombinieren zweier Kommerzieller Lösungen diese Lücken nicht mitigiert.

    Zudem setzen 90%+ aller kommerziellen Lösungen teile von Open Source ein (Etwa Open SSH). So das der Bug den Du im Hinterkopf hast - Heart Bleed - auch fast überall in kommerziellen Lösungen implementiert wurde. Und die Monty Python Nummer ist doch das diese kommerziellen Lösungen bis EAL 4+ zertifiziert wurden. Wo ist also die QA, das angebliche Codereview bei EAL 4+ geblieben. Hat alles nicht funktioniert...

    Open Source ist nicht ohne Fehler, aber es ist immer fehlerfreier als closed source. Das liegt in der Natur der Sache.

    Gruß ddd

  5. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: RicoBrassers 04.10.17 - 08:32

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > IT Sicherheit muss mit beweisbaren Fakten starten - und wenn bereits der
    > Quellcode auf Vertrauen denn auf Nachweis basiert - was kann man dann noch
    > weiter darauf aufbauen?

    Herzlichen Glückwunsch, dir ist aber bestimmt bewusst, dass das gesamte Prinzip des verschlüsselten Traffics im Internet auf Vertrauen (CAs) basiert, oder?

  6. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: ve2000 04.10.17 - 09:13

    Open Source macht speziell dann Sinn, wenn du:
    1. im Stande bist den Code zu lesen UND zu verstehen
    2. du die Binaries selbst bauen und auch auf dem entsprechenden Gerät installieren kannst.
    Wenn nicht, wer gibt dir dann die Garantie, das der Blob auch den veröffentlichten Sourcen entspricht?

  7. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: AnonymerHH 04.10.17 - 09:57

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Open Source ist nicht ohne Fehler, aber es ist immer fehlerfreier als
    > closed source. Das liegt in der Natur der Sache.


    schwachsinn, nur weil es open source ist gucken nicht mehr gute programmierer über den code.
    sofern es nicht ein hoch populäres projekt ist gewinnt kommerziell immer, weil da ausgebildete coder sitzen die dafür bezahlt werden das projekt zu pflegen, und weil man nicht für die konkurrenz arbeiten will setzt man dann meißt auf closed source.

    in open source kannst du auch hintertüren verstecken die man kaum findet btw, du lässt dich so sehr davon blenden das theoretisch die ganze welt den code abgeklopft haben könnte das du dabei die realität vergisst: menschen sind faul und und das gehirn füllt alle lücken aus, selbst die leute die sich den sourcecode durchlesen gucken nur auf die wichtigen stellen und finden kaum was.

    die leute brauchen einen starken anreiz um den code wirklich intensiv zu prüfen, ein bug bounty programm mit hohen auszahlungen z.b. oder sie gehören zu den 0,01% der menschheit die so paranoid, fleissig und gut ausgebildet sind das sie ein open source programm komplett prüfen würden und in der lage währen die fehler zu finden, dann könnten sie es aber auch direkt selber schreiben :)

  8. Re: Closed Source Sicherheitstechnik kann niemals vertrauenswürdig sein

    Autor: chefin 04.10.17 - 11:56

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Dir ist der Unterschied zwischen unentdeckten und bewussten
    > Sicherheitslücken klar?
    >
    > Unentdeckte Lücken kann man dadurch Entschärfen das man zwei
    > unterschiedliche Lösungen kombiniert (Etwa zwei Firewalls hintereinander).
    >
    > Bewusste (etwa durch Zwang von Behörden) implementierte Lücken werden
    > aufeinander abgestimmt sein, so das das kombinieren zweier Kommerzieller
    > Lösungen diese Lücken nicht mitigiert.
    >
    > Zudem setzen 90%+ aller kommerziellen Lösungen teile von Open Source ein
    > (Etwa Open SSH). So das der Bug den Du im Hinterkopf hast - Heart Bleed -
    > auch fast überall in kommerziellen Lösungen implementiert wurde. Und die
    > Monty Python Nummer ist doch das diese kommerziellen Lösungen bis EAL 4+
    > zertifiziert wurden. Wo ist also die QA, das angebliche Codereview bei EAL
    > 4+ geblieben. Hat alles nicht funktioniert...
    >
    > Open Source ist nicht ohne Fehler, aber es ist immer fehlerfreier als
    > closed source. Das liegt in der Natur der Sache.
    >
    > Gruß ddd

    Genau DAS ist der trugschluss.

    Bei OpenSource MEINT man das viele drüber schauen, aus Eigennutz und so die Zahl der Kontrolleure jede kommerzielle Kontrolle übertrifft. Aber das ist falsch. Im gegenteil, dank OpenSource ist das finden und verwerten von Lücken einfacher. Und Lücken sind bares Geld.

    Firmen die kontrollieren wollen auch leistung sehen. Da weis man das beispielsweise 50 Mann jahrein jahraus Lücken suchen und fixen bzw melden.

    Ja, der Aspekt, das Lücken eingebaut werden und keiner das weis bzw findet sticht. Keine Frage. Aber das ist wie der Witz ob Alsheimer oder Parkinson schlimmer ist. beide sind gleich schlimm, weils egal ist ob du das Bier verschüttest oder vergisst wo du es hingestellt hast.

    Soll heisen: ob nun mangels Kontrolle Fehler nicht gefunden werden oder mangels Kontrollierbarkeit ist egal. OpenSource wird nämlich praktisch garnicht mehr kontrolliert. Allenfalls von denen die es programmieren. Aber wenn ich etwas falsch programmiere finde ich den Fehler auch nicht beim Kontrollieren. Das liegt in der Natur der Denkweise beim programmieren.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Weleda AG, Schwäbisch Gmünd
  2. Stadt Leinfelden-Echterdingen, Leinfelden-Echterdingen bei Stuttgart
  3. Universität Stuttgart, Stuttgart
  4. Pongs Technical Textiles GmbH, Düsseldorf, Pausa-Mühltroff

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 299,00€
  2. (reduzierte Überstände, Restposten & Co.)
  3. (u. a. Grafikkarten, Monitore, Mainboards)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
Mordhau angespielt
Die mit dem Schwertknauf zuschlagen

Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
Von Peter Steinlechner

  1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  2. Bright Memory angespielt Brachialer PC-Shooter aus China

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    1. Unternehmerisch fahrlässig: Conti will keine Akkuzellen in Deutschland bauen
      Unternehmerisch fahrlässig
      Conti will keine Akkuzellen in Deutschland bauen

      Continental-Chef Elmar Degenhart hat sich gegen eine Akkuzellfertigung für Elektroautos in Deutschland ausgesprochen. Das sei kein attraktives Geschäftsmodell und "unternehmerisch fahrlässig".

    2. Wing: Alphabet startet mit Drohnenlieferungen in Helsinki
      Wing
      Alphabet startet mit Drohnenlieferungen in Helsinki

      Wing wird ab Sommer 2019 in der finnischen Hauptstadt mit der Auslieferung via Drohne beginnen. Die Drohnen sollen in einem Stadtteil dazu genutzt werden, Lebensmittel von Supermärkten zu Häusern zu transportieren.

    3. US-Blacklist: Google gibt Huawei offenbar keine Android-Updates mehr
      US-Blacklist
      Google gibt Huawei offenbar keine Android-Updates mehr

      Google soll wegen des Drucks der US-Regierung die Zusammenarbeit mit Huawei eingestellt haben. Damit wäre nur noch die Open-Source-Version von Android für den Hersteller verfügbar. Auch Intel und Qualcomm würden Huawei nicht mehr beliefern.


    1. 08:13

    2. 07:48

    3. 00:03

    4. 12:12

    5. 11:53

    6. 11:35

    7. 14:56

    8. 13:54