Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Angeblich Backdoor im…

Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: WinKritik 15.12.10 - 11:20

    Hiermit wäre das Scheinargument widerlegt.

    Für den Code-Audit braucht es nämlich

    1) Profis

    2) Einen Grund, aus dem der Code-Audit durchgeführt wird. In aller Regel eine Fehlfunktion der Software.

    Diese Fehlfunktion war allerdings nicht gegeben, da der Code ganz offensichtlich inklusive Backdoor seit 10+ Jahren einwandfrei nach IPSEC-Spezifikation funktioniert.

    Eine im Algorithmus selbst versteckte Backdoor ist praktisch unmöglich zu finden, da es nur wenige Personen gibt, die sowohl an dem jeweilgen OSS-Projekt beteiligt sind als auch das nötige Fachwissen haben, und außerdem den Code nur einem äußerst schwierigen Code-Review unterziehen werden, wenn es einen Grund (z.B. Bug) dazu gibt.

    Beides ist bei den meisten OpenSource-Programmen ganz offensichtlich nicht der Fall.

  2. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Zzap 15.12.10 - 11:28

    Es ist weder ein Scheinargument, noch widerlegt.

    Die hier ist _ein Beispiel_ dafür, dass Software nicht _automatisch_ perfekt wird durch Open Source. Dennoch hat man mehr Möglichkeiten, Software zu verbessern als durch Closed Source.

  3. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: vinci 15.12.10 - 11:34

    WinKritik schrieb:
    --------------------------------------------------------------------------------
    > Hiermit wäre das Scheinargument widerlegt.
    >

    Du hast echt null Ahnung. Im Falle von Closed Source kannst Du GAR NICHTS reviewen. Hier bestand zumindest die Chance, dass Leute die Backdoor finden.

    Zunächst muss geschaut werden, was an den Vorwürfen dran ist und in wieweit diese Sicherheitslücken heute noch bestehen.

  4. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: käsestulle 15.12.10 - 11:35

    Will jetzt nicht nochmal alles wiederholen, aber guck mal was ich hier geschrieben habe:

    https://forum.golem.de/kommentare/security/sicherheit-angeblich-backdoor-im-ipsec-stack-von-openbsd/closed-source-und-sicherheit/47616,2575030,2575030,read.html#msg-2575030

  5. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: eisenmagnet 15.12.10 - 11:37

    vinci schrieb:
    --------------------------------------------------------------------------------
    > Du hast echt null Ahnung. Im Falle von Closed Source kannst Du GAR NICHTS
    > reviewen. Hier bestand zumindest die Chance, dass Leute die Backdoor
    > finden.


    Ja und die Gefahr dass Hacker sie zuerst finden.

  6. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: nöp 15.12.10 - 11:40

    Zzap schrieb:
    --------------------------------------------------------------------------------
    > Dennoch hat man mehr Möglichkeiten,
    > Software zu verbessern als durch Closed Source.


    Und deshalb ist es eben ein Scheinargument. Denn diese Möglichkeiten existieren oft nur auf dem Papier und werden in den seltensten Fällen angewendet. Weil sich eben jeder sagt "hey es ist OS, also wird schon irgendwer da den Code prüfen". Aber gerade bei kleinen und mittleren Projekten passiert das nahezu nie.

    Ich nutze auch OS aber warum soll ich meine wertvolle Zeit damit verschwenden, irgendson Codegeschmiere von irgendwem durchzuchecken?

  7. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: nasaar 15.12.10 - 11:50

    nöp schrieb:
    --------------------------------------------------------------------------------
    > Zzap schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dennoch hat man mehr Möglichkeiten,
    > > Software zu verbessern als durch Closed Source.
    >
    > Und deshalb ist es eben ein Scheinargument. Denn diese Möglichkeiten
    > existieren oft nur auf dem Papier und werden in den seltensten Fällen
    > angewendet.

    Also sooooo unwahrscheinlich wie ein Sechser im Lotto isses nicht, dass sich jemand den Code ansieht. Das kannste nu wirklich nich vergleichen.

    Mag sein, dass die meisten Ubuntu-User sich den Kernel im Quelltext nicht zu Gemüte führen, aber selbst wenn es nur jeder Hundertste ist, ist das ne Menge!

    > Weil sich eben jeder sagt "hey es ist OS, also wird schon
    > irgendwer da den Code prüfen". Aber gerade bei kleinen und mittleren
    > Projekten passiert das nahezu nie.

    Ähm, doch. Ich glaube, dass ich nicht für die Mehrheit sprechen kann, aber wenn ich einen Quellcode vor mir habe, der verbessert werden kann (und das ist IMMER der Fall) dann tue ich dies.

    Außerdem gucke ich mir ein paar mal pro Woche die Sourcen von allen möglichen Projekten an.

    Wie gesagt, mag nicht viele wie mich geben, aber eben auch nicht wenige!

    > Ich nutze auch OS aber warum soll ich meine wertvolle Zeit damit
    > verschwenden, irgendson Codegeschmiere von irgendwem durchzuchecken?

    Denkst du nicht, dass das ein bisschen egoistisch ist?

    Ich arbeite fast nur mit OS und als "Dankeschön" kann man sich schon mal n paar Zeilen Code ansehen (sofern man denn in der Lage dazu ist).

    Außerdem gibt es wunderschönen Quellcode, der fast völlig Fehlerfrei ist und unglaublich gut aussieht ... fast wie "Kunst" ... aber wie auf allen Gebieten, gibts natürlich immer auch Kunstbanausen. :)

  8. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: benji83 15.12.10 - 11:54

    Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows [von der Hintertür] betroffen wäre, wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung arbeiten würden um das Problem zu beheben?

  9. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: nöp 15.12.10 - 12:14

    nasaar schrieb:
    --------------------------------------------------------------------------------
    > Denkst du nicht, dass das ein bisschen egoistisch ist?


    Nö, nur aus Erfahrung.
    Gibt ja genug Meldungen von Leuten die Code prüfen und korrigieren und dann vom Entwickler ignoriert werden oder es gar nix passiert.
    Ähnlich wie bei Wikipedia, da hab ich früher auch öfters korrigiert oder Details ergänzt. Aber nachdem JEDES MAL alles wieder gelöscht wurde, weil dem Admin was nicht passte oder weils für ihn nicht relevant genug war hab ichs halt irgendwann sein lassen und kümmer mich jetzt nur noch um meinen Kram.

  10. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Znapped 15.12.10 - 12:14

    Zzap schrieb:
    --------------------------------------------------------------------------------
    > Es ist weder ein Scheinargument, noch widerlegt.

    Doch hat er, da Deine Argumente unsinnig sind:

    > Die hier ist _ein Beispiel_ dafür, dass Software nicht _automatisch_
    > perfekt wird durch Open Source.

    Wer spricht denn von "perfekt"? Es ging um das Thema "Sicherheit" und OS ist per se daher nicht als sicherer einzustufen als CS und das wurde schon mehrfach belegt.

    > Dennoch hat man mehr Möglichkeiten,
    > Software zu verbessern als durch Closed Source.

    Wieso sollte man Software "verbessern" wollen, egal ob OS oder CS? Software die fehlerfrei tut was sie soll und die auch nicht um neue Features erweitert werden soll "verbessert" niemand. Und wieso soll bei CS es schwerer sein Software zu "verbessern"? Nur weil da nicht jeder den Brei versalzen darf? Große Firmen bekommen das selbst hin, die brauchen dazu keine Frickler...

  11. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: zerz 15.12.10 - 12:16

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows betroffen wäre,
    > wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung
    > arbeiten würden um das Problem zu beheben?


    Dazu müssten sie aber das genaue Problem kennen. Und wenn man die Details veröffentlicht kann auch jeder Hacker eben fix nen Hack schreiben und nochmal schnell Schaden anrichten.

  12. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: da 15.12.10 - 12:17

    vinci schrieb:
    --------------------------------------------------------------------------------
    > Du hast echt null Ahnung. Im Falle von Closed Source kannst Du GAR NICHTS
    > reviewen.

    Blödsinn, CS wird genauso reviewed. Nach der Freigabe findet kein Review mehr statt. Du verwechselst das Lesen von Quellcode mit anderen Standardprozessen von denen Du anscheinend keine Ahnung hast.

    > Hier bestand zumindest die Chance, dass Leute die Backdoor
    > finden.

    Ach, bei CS wohl nicht? Komisch, wieso finden Hacker und Cracker dann trotzdem immer Mittel und Wege? Träum weiter...

  13. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: swdev 15.12.10 - 12:19

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows betroffen wäre,
    > wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung
    > arbeiten würden um das Problem zu beheben?

    Klar... weil man hunderte von Menschen braucht um ein Problem zu lösen. Und danach gibts dann auch hunderte von verschiedenen Versionen, stimmts? Du hast Null Ahnung von der SW-Entwicklung... *kopflang*

  14. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: ketchupfabrikbesucher 15.12.10 - 12:57

    eisenmagnet schrieb:
    -----------------------------------------------------------------
    > Ja und die Gefahr dass Hacker sie zuerst finden.

    ...Du meinst bestimmt *böse* Hacker.. :->

  15. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: glaubichkaum 15.12.10 - 13:19

    Windows ist von solchen Problemen definitiv genauso betroffen. Wenn schon Backdoors in Nieschensysteme wie Free BSD eingebaut werden, dann kannst Du Dich 100% darauf verlassen, das die bei MAC OS und Windows noch viel besser funktionieren...

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows betroffen wäre,
    > wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung
    > arbeiten würden um das Problem zu beheben?

  16. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: svvc 15.12.10 - 13:26

    WinKritik schrieb:
    --------------------------------------------------------------------------------
    bist Du so blöd oder willst Du nur trollen?

  17. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Ventilatorjunge 15.12.10 - 14:10

    Bist du so blöd oder willst du die Realität nicht begreifen?

    Aber so ist das ja immer hier, wenn jemand Recht hat wird er sofort als Troll oder Fanboy beschimpft, weil einige die Wahrheit nicht verkraften.

  18. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: blueSTAR 15.12.10 - 14:16

    Weiß jemand, ob dieser Code auch in Windows gelangt ist? Immerhin ist bzw. war dort ein BSD TCP/IP Stack in Verwendung.

  19. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Narf. 15.12.10 - 14:42

    Man weiß nicht mal, ob überhaupt irgendein FBI-Backdoor-Code irgendwohin gelangt ist. Wartet doch erstmal ab, bevor hier euch gegenseitig in Schlamm einreibt.

  20. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Das Original 15.12.10 - 21:44

    WinKritik schrieb:
    --------------------------------------------------------------------------------
    > Hiermit wäre das Scheinargument widerlegt.


    du hast so recht.

    ich halte es seit jahren für ein scheinargument, und
    endlich gibt es mal konkrete anhaltspunkte, ein real
    existierendes beispiel.

    propertiäre lösungen sind - unter umständen - viel
    sicherer, weil man da wenigstens weiss, wer den code
    geschrieben hat, wenn er denn aus einer hand kommt.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Technische Universität Berlin, Berlin
  2. Computacenter AG & Co. oHG, München
  3. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  4. Weleda AG, Schwäbisch Gmünd

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  2. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)
  3. 399€ + Versand oder kostenlose Marktabholung (Vergleichspreis ab 443€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Ryzen 5 3400G und Ryzen 3 3200G im Test: Picasso passt
Ryzen 5 3400G und Ryzen 3 3200G im Test
Picasso passt

Vier Zen-CPU-Kerne plus integrierte Vega-Grafikeinheit: Der Ryzen 5 3400G und der Ryzen 3 3200G sind zwar im Prinzip nur höher getaktete Chips, in ihrem Segment aber weiterhin konkurrenzlos. Das schnellere Modell hat jedoch trotz verlötetem Extra für Übertakter ein Preisproblem.
Ein Test von Marc Sauter

  1. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  2. Ryzen 3000 Agesa 1003abb behebt RDRAND- und PCIe-Gen4-Bug
  3. Ryzen 5 3600(X) im Test Sechser-Pasch von AMD

  1. Urheberrecht: Youtuber sollen bei Snippets kein Geld mehr verlieren
    Urheberrecht
    Youtuber sollen bei Snippets kein Geld mehr verlieren

    Bisher konnten Urheber die Einnahmen von Youtubern komplett an sich ziehen, auch wenn diese nur ganz kurze Teile der eigenen Werke übernahmen. Das soll künftig auf Youtube nicht mehr möglich sein.

  2. Einrichtungskonzern: Ikea startet eigenen Geschäftsbereich für Smart Home
    Einrichtungskonzern
    Ikea startet eigenen Geschäftsbereich für Smart Home

    Der Einrichtungskonzern Ikea will mit einem eigenen Geschäftsbereich seine Smart-Home-Produkte voranbringen. Das Unternehmen will damit mehr bieten als nur gewöhnliche Möbel.

  3. Zoncolan: Facebook testet 100 Millionen Zeilen Code in 30 Minuten
    Zoncolan
    Facebook testet 100 Millionen Zeilen Code in 30 Minuten

    Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert.


  1. 14:34

  2. 13:28

  3. 12:27

  4. 11:33

  5. 09:01

  6. 14:28

  7. 13:20

  8. 12:29