1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IMHO: Zertifizierungen sind der…

Nachteile?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Nachteile?

    Autor: 38yasin38 26.01.15 - 08:27

    Ist es nicht so, dass ein offener Quellcode dann auch von anderen Leuten missbraucht werden könnte? Wäre es dann nicht deutlich einfacher, Viren zu entwickeln, die in die Hardware eingreifen?

    Oder habe ich da etwas übersehen?

    LG

  2. Re: Nachteile?

    Autor: nykiel.marek 26.01.15 - 08:34

    Ja, das hast du. Du hast übersehen, dass die Malware dann auch im Quellcode vorliegen würde.
    LG, MN

  3. Re: Nachteile?

    Autor: MarioWario 26.01.15 - 08:38

    Zudem ist es nicht so selten das die Firmen offene Wartungsports nie wieder zumachen - von wegen das Closed-Source eine so sichere Lösung ist.

  4. Re: Nachteile?

    Autor: TheChef1993 26.01.15 - 09:05

    @nzkiel: Ich denke was der OP gemeint hat ist, dass wenn die firmware quelloffen ist, dann koennen dritte fehler oder bugs dort direkt finden und viren bauen die genau auf diese Fehler schauen und ausnutzen. Und da hat er durchaus recht. Immerhin werden firmware updates nicht gerade oft rausgegeben was einem Angreifer genuegend Zeit gibt den bug monate wenn nicht jahre auszunutzen.

    Quelloffen ist nicht immer besser. Beides hat for und nachteile und keiner kann behaupten, das eine sei sicherer als das andere. Bei Open Source kann man fehler direkt im code finden, bei closed source probiert man dann eben lange aus bis man einen Fehler entdeckt, den man dan ausnutzen kann. BTW, selbst wenn eine offene Firmware Maleware enthaelt ist es keine garantie das diese auch entdeckt wird. OpenSSL ist auch quelloffen und den Heartbleed bug hat auch keiner entdeckt obwohl der "relative" simple war. Es benoetigt am Ende immer wieder Leute die Zeit und Ahnung haben um das zu ueberpruefen, und wer Ahnung hat, hat normalerweise wenige Zeit dafuer

    LG

  5. Re: Nachteile?

    Autor: Salzbretzel 26.01.15 - 09:19

    Dein Punkt ist korrekt. Wenn der Quellcode vorliegt, muss die Firmware nicht erst decompiliert werden. Dadurch wird es Angreifern leichter gemacht eine Plattform anzugreifen.

    Das Problem, warum nach dem Quellcode verlangt wird ist aber anderer Natur.
    Oft gibt es keine Updates für die Firmware. Weil das Board zu alt ist, oder der Hersteller einfach keinen Gewinn damit macht.
    Da wäre es toll den Quellcode zu haben. Dann gäbe es auch noch für alte PCs ein Update.
    Auch vertraut man den Herstellern nicht unbedingt. Wenn man den Quellcode hätte, könnte man erstmal mehr Vertrauen schenken.

    Generell hast du aber Recht. Daraus folgt nur die Frage nach Pest und Colera. Aus eigenen Erfahrungen würde ich aber die Quellcode Variante bevorzugen.

  6. Re: Nachteile?

    Autor: derdiedas 26.01.15 - 09:26

    Nein Quelloffen ist immer sicherer, denn man hat schon bei Verschlüsselungsalgorithmen gelernt das offen diskutierte verfahren immer sicherer sind als welche die irgendwo zusammengedengelt werden.

    Das problem bei closed source ist das Du nicht sicherer bist weil keiner den Sorucecode kennt (Alles lässt sich decompilieren) sondern das Dir die Angriffsfläche unbekannt ist.

    Bei Open Source beschäftigen sich mehr Menschen damit den Code Legal nach Schwachstellen zu untersuchen. Bei Closed Source wird der Code von denen untersucht die genügend kriminelle Energie haben.

    Das Ergebnis ist für den kriminellen das Arbeitsaufwand in closed source sich eher lohnt, weil die Lücken teilweise für immer bestehen bleiben. Bei OpenSource gibt es auch einige Beispiele wo es Jahre gedauert hat bis eine Lücke entdeckt worden ist, aber das ist nicht die Regel. Bei Open Source bleiben Lücken meist dann wenn sich zu wenige mit dem Code auseinandersetzen oder das Thema nur von wenigen verstanden wird.

    Bei closed source und der kommerziellen Entwicklung bei der Releasedates wichtiger sind als ausreichende QA bleiben selbst trivial Fehler bestehen da man sich denkt findet eh keiner heraus.

    IT Sicherheit und closed source widersprechen sich fundamental, denn weiter als security by obscurity kann closed source prinzipbedingt nicht gehen. Und in der Kryptographie hat man schon gelernt das dies keine Lösung ist.

    Gruß ddd

  7. Re: Nachteile?

    Autor: burzum 26.01.15 - 09:49

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Das Ergebnis ist für den kriminellen das Arbeitsaufwand in closed source
    > sich eher lohnt, weil die Lücken teilweise für immer bestehen bleiben. Bei
    > OpenSource gibt es auch einige Beispiele wo es Jahre gedauert hat bis eine
    > Lücke entdeckt worden ist, aber das ist nicht die Regel. Bei Open Source
    > bleiben Lücken meist dann wenn sich zu wenige mit dem Code
    > auseinandersetzen oder das Thema nur von wenigen verstanden wird.

    Wer sagt Dir das die teils gravierenden Lücken die es im Kernel und in OpenSSL gab und die JAHRE - offiziell - unentdeckt waren nicht von den Geheimdiensten oder anderen vorher schon gefunden aber nie gemeldet wurden?

    Wenn OpenSSL eins gezeigt hat, dann das, das niemand Bock hat sich den Code anzuschauen. Richtig große Firmen haben diese Lib verwendet und sich wohl gesagt "Hey, paßt schon!".

    > IT Sicherheit und closed source widersprechen sich fundamental, denn weiter
    > als security by obscurity kann closed source prinzipbedingt nicht gehen.
    > Und in der Kryptographie hat man schon gelernt das dies keine Lösung ist.

    Ich stimme hier grundlegend zu aber der heilige Gral ist Open Source auch nicht. Wir brauchen weniger plärrende Jünger wie geil und toll vorteilhaft Open Source wäre, wir brauchen mehr Leute die auch wirklich etwas tun anstatt nur zu plärren. Ohne Leute die sich den Code auch anschauen ist die Idee wertlos.

    Persönlich finde ich ein Zwischending gut. Firmen sollten ihren Code offenlegen aber die Rechte daran behalten. Die GPL ist ein Krebsgeschwür und die meisten OSS Projekte leider ein ziemlich kindischer Haufen ohne wirkliche Roadmap. Man schaue sich nur das Rumgedümpel von Gimp an. Oft fehlt es an Usabilityexperten im Team. Eine Firma die Geld verdienen will und muß hat im Regelfall Ziele die sie in einem Zeitrahmen erreichen will und Resourcen dafür investiert. Ein OSS Projekt hat oft eher die Einstellung "Features first", machen ja mehr Spaß als Bugs fixen und ignoriert oft einfach die Anwender. Eine Firma mit einem Produkt steht dagegen in Konkurenz und muß liefern was die Kunden wollen, was übrigens auch der Grund ist warum in Windows einige Dinge sind wie sie sind die den OSS-Fanatics aber natürlich nicht gefallen.

    Gehen wir jetzt mal vom Idealfall aus und alle 2-3 Monate kommt ein update für nur EINE Firmware, der Artikel sagt ziemlich genau das ein Rechner heute aus zig "Minisystemen" besteht. Das heißt also ein total unbedarfter Anwender muß neben zig normaler Softwareupdates wahrscheinlich wöchentlich auch noch zig Firmewareupdates installieren. Und wie viele Leute das halten wissen wir glaube ich alle. Spinnt man das weiter bräuchte es ein Updatesystem das standardisiert ist. Spätestens hier kann ich wieder einfach angreifen: Ich übernehme den Server, ich fange den Traffic ab und modifiziere die Daten beim Update, ich fälsche Signaturen, ich schiebe falsche Signaturen unter... Es gibt genug kreative Wege.

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    5 mal bearbeitet, zuletzt am 26.01.15 10:02 durch burzum.

  8. Re: Nachteile?

    Autor: Fragile Heart 26.01.15 - 10:00

    Entschuldige wenn ich das so direkt sage, aber das ist doch auch zum Teil Blödsinn!

    Die Tatsache das der Quellcode offen liegt bringt dir erst dann etwas, wenn sich jemand ernsthaft damit beschäftigt! Ergo ist eine "Open Source Entwicklung" nicht automatisch besser. Ich hab immer das Gefühl, viele gehen davon aus, man macht den Quellcode auf und alle Geheimen/Illegalen Funktionen schreien sofort "hier, ich bin geheim".

    Jeder der schon mal versucht hat eigene Fehler zu finden, weiß wie schwer die zu sehen sind und da kennst du deine Software ja am besten. Wie sieht das denn bei Software von anderen Leuten aus? Das Einarbeiten und verstehen von fremder Software ist nicht mal in ein paar Minuten gemacht. Und ehrlich, bei Code der absichtlich versteckt wird (du wirst bestimmt kein Kommentar finden alla "Super NSA Spionage Funktion startet hier") ist es mit Sicherheit nicht viel leichter.

    Ich unterstütze den Vorschlag des Artikelautors, aber wer glaubt das offene Quellcodes sofort mehr Sicherheit bedeuten, der täuscht sich gewaltig. Bis die "Community" mit den beliebtesten Geräten durch sind, vergehen Jahre.

    -------------------
    Only fools believe that nothing changes, nothing leaves, but I need to believe that we at least will have some dignity

  9. Re: Nachteile?

    Autor: violator 26.01.15 - 10:04

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Bei Open Source
    > bleiben Lücken meist dann wenn sich zu wenige mit dem Code
    > auseinandersetzen

    Und das ist das große Problem bei OS und das wird nicht weniger, wenn in Zukunft ja viel mehr OS ist als heute und alles sowieso immer komplexer wird.

  10. Re: Nachteile?

    Autor: derdiedas 26.01.15 - 10:20

    Du hast recht das OpenSource ein Problem hat das sich zu wenige damit beschäftigen. Und es deshalb teilweise Probleme mit dem Code gibt (Habe ich ja auch so geschriebenn).

    Bei Closed Source aber ist das die Regel und nicht die Ausnahme. Denn alle Software die nicht gerade Verkauft wird ist Source Code mit dem sich auch innerhalb des Unternehmens nur wenige bis gar niemand beschäftigt.

    OpenSource ist derzeit mangelhaft umgesetzt aber trotzdem noch um Potenzen besser aufgestellt als closed source.

    Die closed source Anhänger sind vergleichbar mit Trabbi Fahrern die auf die mangelhafte Qualität chinesischer Auto schimpfen.

    Du vergleichst nicht OpenSource mit Closed Source, sondern OpenSource mit dem Ideal der absolut sicheren Entwicklung. Diesen Vergleich kann OpenSource aber niemals bestehen was auch Logisch ist da Software Limes gegen unendlich komplex ist. Closed Source aber kann diesen Vergleich noch viel weniger bestehen. Denn Closed Source ist die Anzahl der beteiligten immer kleiner als die bei open source.

    Und das Zertifizierungen nichts aber auch gar nichts bringen kann man gerade an Hartbleed sehen. Die Komponente wurde in etlichen FIPS 140-2 Level 3 und EAL 4 zertifizierten kommerziellen Lösungen eingebaut.

    Gruß ddd

  11. Re: Nachteile?

    Autor: theonlyone 26.01.15 - 10:23

    Open-Source prinzipiel sicherer ist natürlich auch falsch.

    Den nur weil etwas offen ist schauen es sich nicht mehr "qualifizierte" Leute an.

    Für den Anwender zählt sowieso nur ob die Software leistet was sie verspricht.
    Für den Entwickler-Anwender möglicher Schnittstellen ist es praktisch auch nicht von belangen was sie Software tut, solange sie liefert was sie soll.

    Hat man also Bugs die bei falschem Input ein falsches Ergebnis liefert, kann man das testen mit closed oder open.

    Wie immer hat man in der Software Branche seine White/Black Hats. Ein paar Leute schauen sich Code an und melden Fehler, helfen die Software zu verbessern.
    Andere finden Fehler und nutzen diese aus, verkaufen sie oder erpressen die Unternehmen damit.

    Closed Source hat letztlich auch den Vorteil für die Entwickler das Fehler in der Tat erst einmal nicht nach außen treten, gerade wenn der Fix aufwendiger ist, hat man damit eine großzügige Puffer-Zeit um zu reagieren ; ob die genutzt wird steht auf einem anderen Blatt ; das Konzept passt auch besser in die Update-Zyklen und Patch-Day Arbeitsweiße.



    Geht es um Closed/Open vertrette ich die Meinung das eine Closed-Software wenn sie nicht vermarktet wird nach ein paar Jahren automatisch zu Open-Source wechselt.

  12. Re: Nachteile?

    Autor: derdiedas 26.01.15 - 10:28

    Siehe: http://goo.gl/17ZTPH

    Ja OpenSource ist der heilige Gral der Softwareentwicklung (Mir würde auch nicht einfallen was ein noch höherer Gral in der Softwareentwicklung wäre). Nur verwechseln viele OpenSource mit kostenlos und GPL und GNU Lizensierung.

    OpenSource kann aber auch bedeuten das man bei Enterprise Anwendungen etwa den Quellcode den Kunden und deren QA Abteilungen zur verfügung steht. Und mit jeden Kunden wird die QA der eigenen Software größer und damit die Software besser. Ohne open Source bleibt es immer bei der eigenen QA mit den teilweise Systemimmanenten Fehlern.

    Zusätzlich gibt man dem Kunden einen Beweis falls man bewusst eine Backdoor einbauen würde.

    Ohne OpenSource kann niemals ein Vertrauensverhältnis entstehen.

    Gruß ddd

  13. Re: Nachteile?

    Autor: derdiedas 26.01.15 - 10:36

    Man kann nur bei OpenSource mehr Leute an dem QA Prozess beteiligen, bei closed source bleibt man IMMER auf einen eng begrenzten Personalstamm stehen.

    Auch hier OpenSource ist nicht gleich mit freier Lizensierung, sondern kann auch bedeuten das der Kunde den Quellcode zur Überprüfung und als Nachweis bekommt.

    Kunden wie Großbanken haben eigene QA Abteilungen die die der Softwareanbieter bei weiten übersteigen. Und mit jeden Kunden gewinnt man QA - bei closed source geht sowas nicht.

    Und keine QA ist vor grundlegenden Fehlern in Ihren Prozessen gefeit, und vor allen ist QA bei allen Anbietern nur ein Kostenfaktor der möglichst klein sein soll. Beides sind Systemfehler die kommerzielle Closed Source Software immer hat. Zusätzlich kommt noch bei groben Fehlern das Interesse der Anbieter diese möglichst unbemerkt aus der Welt zu schaffen, da Regressansprüche und Reputationsverlust befürchtet werden.

  14. Re: Nachteile?

    Autor: derdiedas 26.01.15 - 10:42

    Open Source ist prinzipiell sicherer

    Denn die QA von Closed source kann niemals beliebig groß werden. Sie kann es aber von Open Source.

  15. Re: Nachteile?

    Autor: bernd71 26.01.15 - 10:45

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Man kann nur bei OpenSource mehr Leute an dem QA Prozess beteiligen, bei
    > closed source bleibt man IMMER auf einen eng begrenzten Personalstamm
    > stehen.
    >
    > Auch hier OpenSource ist nicht gleich mit freier Lizensierung, sondern kann
    > auch bedeuten das der Kunde den Quellcode zur Überprüfung und als Nachweis
    > bekommt.
    >
    > Kunden wie Großbanken haben eigene QA Abteilungen die die der
    > Softwareanbieter bei weiten übersteigen. Und mit jeden Kunden gewinnt man
    > QA - bei closed source geht sowas nicht.
    >
    > Und keine QA ist vor grundlegenden Fehlern in Ihren Prozessen gefeit, und
    > vor allen ist QA bei allen Anbietern nur ein Kostenfaktor der möglichst
    > klein sein soll. Beides sind Systemfehler die kommerzielle Closed Source
    > Software immer hat. Zusätzlich kommt noch bei groben Fehlern das Interesse
    > der Anbieter diese möglichst unbemerkt aus der Welt zu schaffen, da
    > Regressansprüche und Reputationsverlust befürchtet werden.

    Und OpenSource hat nicht das Problem mangelnder QA? Die Theorie ist ja schön und gut, aber die Praxis sieht glaube ich ganz anders aus. Sehr viele OpenSource Entwickler werden von Firmen bezahlt, wie sieht es bei der QA der OpenSource Projekte aus? QA ist ja auch nicht immer ein Spaßjob, je nachdem mit was für Entwicklern man zusammen arbeiten muss. Sellbst eine gute QA garantiert keine sichere Software.
    Ich sehe nicht warum da OpenSource eine Vorteil gegenüber ClosedSource haben soll. Auch das Closed Source immer schlechter sein soll als OpenSource halte ich für reichlich naiv. Es soll ja Firmen geben, die ihren Code oder Systeme auditieren. Es gibt bei Closed und Open Source gute und schlechte Projekte.

  16. Re: Nachteile?

    Autor: bernd71 26.01.15 - 10:46

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Open Source ist prinzipiell sicherer
    >
    > Denn die QA von Closed source kann niemals beliebig groß werden. Sie kann
    > es aber von Open Source.

    Was bring einem eine theoretische Sicherheit? Ist die nicht eher trügerisch?

  17. Re: Nachteile?

    Autor: Fragile Heart 26.01.15 - 10:55

    Ich stimme dir in den meisten Punkte zu!

    Es ist aber im Kern erstmal völlig egal ob es Open- oder Closed Source ist. Bei beiden kann das selbe Problem auftreten. Ich halte Open Source für die besser Variante, aber sie deshalb nicht automatisch Sicherer und das ist der Punkt den ich heraus heben wollte.

    Meine bescheidenden Meinung nach sollten wir uns ehr mal Gedanken darüber machen wie man mehr Sicherheit in die Entwicklungsprozesse bekommt. Nur das Offenlegen der Quellcodes halte ich, wie bereits gesagt, für unzureichend. Die große Frage ist wie man die Leute dazu motivieren kann diese Quellcodes auch zu prüfen. Bei einigen großen Komponenten oder beliebten Libs wird das sicherlich automatisch passieren, aber diesen Luxus haben bei weiten nicht alle. ;) Und wie das Beispiel Hartbleed zeigt schützt das auch nicht immer. ;)

    -------------------
    Only fools believe that nothing changes, nothing leaves, but I need to believe that we at least will have some dignity

  18. Re: Nachteile?

    Autor: gadthrawn 26.01.15 - 12:41

    Salzbretzel schrieb:
    --------------------------------------------------------------------------------
    > Oft gibt es keine Updates für die Firmware. Weil das Board zu alt ist, oder
    > der Hersteller einfach keinen Gewinn damit macht.
    > Da wäre es toll den Quellcode zu haben. Dann gäbe es auch noch für alte PCs
    > ein Update.

    Dabei hilft OpenSource aber - gar nicht. OpenMoko bekannt? OpenPhoenux macht nur nach Spende was für neue Geräte.

    Daisy als OpenSource MP3 Player - tot.

    Treiberunterstützung für Altgeräte fliegt auch bei Linux raus.

    Meamo und Meegoo ? tot.

    Open webOS - in freier Wildbahn tot.

    Alles Beispiele wie gut OpenSource Systeme überleben.

    > Auch vertraut man den Herstellern nicht unbedingt. Wenn man den Quellcode
    > hätte, könnte man erstmal mehr Vertrauen schenken.

    Warum? Erstmal ist da eh ein Compilat auf dem Rechner. Dann können Lücken gut getarnt sein. Mit NDA ist es auch kein großes Problem in den Windows Quellcode Einblick zu nehmen - aber da trauen OpenSourcejünger MS trotzdem nicht.

  19. Re: Nachteile?

    Autor: gadthrawn 26.01.15 - 12:46

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Man kann nur bei OpenSource mehr Leute an dem QA Prozess beteiligen, bei
    > closed source bleibt man IMMER auf einen eng begrenzten Personalstamm
    > stehen.

    Die es dafür aber auch MACHEN und nicht nur drüber labbern wie toll es gehen könnte.

    Überleg mal wie Medizinprodukte nach FDA geprüft werden müssen. Warum ist da wohl kein OpenSourcekrempel dabei?

  20. Re: Nachteile?

    Autor: derdiedas 26.01.15 - 14:18

    Du weisst nicht op OpenSource dabei ist. Denn erstens wird in fast allen kommerziellen Produkten mittlerweile OpenSource im Sinne von freier Software kommerziell verwurschtelt (Etwa OpenSSL).

    Zweitens gibt es Kunden die OpenSourcer vom Anbieter verlangen, und das nicht im Sinne von freier Software, sondern das der Quellcode dem Kunden zur Überprüfung vorliegt - auch das ist Open Source. (Meist J2EE Projekte).

    Du must OpenSource von GNU und GPL trennen. OpenSource ist ein Transparenzverfahren zwischen Anbieter und Konsument. Freie Software ist was ganz anderes und beinhaltet nur prinzipbedingt OpenSource.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Dr. Fritz Faulhaber GmbH & Co. KG, Schönaich
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Bundesrechnungshof, Bonn
  4. Regierung von Oberbayern, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 84,90€ auf Geizhals
  2. 86,51€ (Vergleichspreis 98,62€ + Lieferzeit, 103,78€ sofort verfügbar)
  3. 418,15€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geforce RTX 3080: Wir legen die Karten offen
Geforce RTX 3080
Wir legen die Karten offen

Am 16. September 2020 geht der Test der Geforce RTX 3080 online. Wir zeigen vorab, welche Grafikkarten und welche Spiele wir einsetzen werden.

  1. Ethereum-Mining Nvidias Ampere-Karten könnten Crypto-Boom auslösen
  2. Gaming Warum DLSS das bessere 8K ist
  3. Nvidia Ampere Geforce RTX 3000 verdoppeln Gaming-Leistung

6G-Mobilfunk: Wie 115 Gigabit/s per Funk über 100 m übertragen wurden
6G-Mobilfunk
Wie 115 Gigabit/s per Funk über 100 m übertragen wurden

Die Funkverbindung wurde mit 300 GHz hergestellt. Dabei muss nur eine Photodiode mit dieser Frequenz arbeiten. Der Rest ist clevere Technik und Mathematik.
Von Frank Wunderlich-Pfeiffer

  1. Telekommunikation Warum US-Tech-Firmen so heiß auf Jio sind
  2. 450 MHz Bundesnetzagentur legt sich bei neuer Frequenzvergabe fest
  3. Funkverschmutzung Wer stört hier?

Immortals Fenyx Rising angespielt: Göttliches Gaga-Gegenstück zu Assassin's Creed
Immortals Fenyx Rising angespielt
Göttliches Gaga-Gegenstück zu Assassin's Creed

Abenteuer im antiken Griechenland mal anders! Golem.de hat das für Dezember 2020 geplante Immortals ausprobiert und zeigt Gameplay im Video.
Von Peter Steinlechner