Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Angeblich Backdoor im…

Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: WinKritik 15.12.10 - 11:20

    Hiermit wäre das Scheinargument widerlegt.

    Für den Code-Audit braucht es nämlich

    1) Profis

    2) Einen Grund, aus dem der Code-Audit durchgeführt wird. In aller Regel eine Fehlfunktion der Software.

    Diese Fehlfunktion war allerdings nicht gegeben, da der Code ganz offensichtlich inklusive Backdoor seit 10+ Jahren einwandfrei nach IPSEC-Spezifikation funktioniert.

    Eine im Algorithmus selbst versteckte Backdoor ist praktisch unmöglich zu finden, da es nur wenige Personen gibt, die sowohl an dem jeweilgen OSS-Projekt beteiligt sind als auch das nötige Fachwissen haben, und außerdem den Code nur einem äußerst schwierigen Code-Review unterziehen werden, wenn es einen Grund (z.B. Bug) dazu gibt.

    Beides ist bei den meisten OpenSource-Programmen ganz offensichtlich nicht der Fall.

  2. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Zzap 15.12.10 - 11:28

    Es ist weder ein Scheinargument, noch widerlegt.

    Die hier ist _ein Beispiel_ dafür, dass Software nicht _automatisch_ perfekt wird durch Open Source. Dennoch hat man mehr Möglichkeiten, Software zu verbessern als durch Closed Source.

  3. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: vinci 15.12.10 - 11:34

    WinKritik schrieb:
    --------------------------------------------------------------------------------
    > Hiermit wäre das Scheinargument widerlegt.
    >

    Du hast echt null Ahnung. Im Falle von Closed Source kannst Du GAR NICHTS reviewen. Hier bestand zumindest die Chance, dass Leute die Backdoor finden.

    Zunächst muss geschaut werden, was an den Vorwürfen dran ist und in wieweit diese Sicherheitslücken heute noch bestehen.

  4. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: käsestulle 15.12.10 - 11:35

    Will jetzt nicht nochmal alles wiederholen, aber guck mal was ich hier geschrieben habe:

    https://forum.golem.de/kommentare/security/sicherheit-angeblich-backdoor-im-ipsec-stack-von-openbsd/closed-source-und-sicherheit/47616,2575030,2575030,read.html#msg-2575030

  5. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: eisenmagnet 15.12.10 - 11:37

    vinci schrieb:
    --------------------------------------------------------------------------------
    > Du hast echt null Ahnung. Im Falle von Closed Source kannst Du GAR NICHTS
    > reviewen. Hier bestand zumindest die Chance, dass Leute die Backdoor
    > finden.


    Ja und die Gefahr dass Hacker sie zuerst finden.

  6. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: nöp 15.12.10 - 11:40

    Zzap schrieb:
    --------------------------------------------------------------------------------
    > Dennoch hat man mehr Möglichkeiten,
    > Software zu verbessern als durch Closed Source.


    Und deshalb ist es eben ein Scheinargument. Denn diese Möglichkeiten existieren oft nur auf dem Papier und werden in den seltensten Fällen angewendet. Weil sich eben jeder sagt "hey es ist OS, also wird schon irgendwer da den Code prüfen". Aber gerade bei kleinen und mittleren Projekten passiert das nahezu nie.

    Ich nutze auch OS aber warum soll ich meine wertvolle Zeit damit verschwenden, irgendson Codegeschmiere von irgendwem durchzuchecken?

  7. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: nasaar 15.12.10 - 11:50

    nöp schrieb:
    --------------------------------------------------------------------------------
    > Zzap schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dennoch hat man mehr Möglichkeiten,
    > > Software zu verbessern als durch Closed Source.
    >
    > Und deshalb ist es eben ein Scheinargument. Denn diese Möglichkeiten
    > existieren oft nur auf dem Papier und werden in den seltensten Fällen
    > angewendet.

    Also sooooo unwahrscheinlich wie ein Sechser im Lotto isses nicht, dass sich jemand den Code ansieht. Das kannste nu wirklich nich vergleichen.

    Mag sein, dass die meisten Ubuntu-User sich den Kernel im Quelltext nicht zu Gemüte führen, aber selbst wenn es nur jeder Hundertste ist, ist das ne Menge!

    > Weil sich eben jeder sagt "hey es ist OS, also wird schon
    > irgendwer da den Code prüfen". Aber gerade bei kleinen und mittleren
    > Projekten passiert das nahezu nie.

    Ähm, doch. Ich glaube, dass ich nicht für die Mehrheit sprechen kann, aber wenn ich einen Quellcode vor mir habe, der verbessert werden kann (und das ist IMMER der Fall) dann tue ich dies.

    Außerdem gucke ich mir ein paar mal pro Woche die Sourcen von allen möglichen Projekten an.

    Wie gesagt, mag nicht viele wie mich geben, aber eben auch nicht wenige!

    > Ich nutze auch OS aber warum soll ich meine wertvolle Zeit damit
    > verschwenden, irgendson Codegeschmiere von irgendwem durchzuchecken?

    Denkst du nicht, dass das ein bisschen egoistisch ist?

    Ich arbeite fast nur mit OS und als "Dankeschön" kann man sich schon mal n paar Zeilen Code ansehen (sofern man denn in der Lage dazu ist).

    Außerdem gibt es wunderschönen Quellcode, der fast völlig Fehlerfrei ist und unglaublich gut aussieht ... fast wie "Kunst" ... aber wie auf allen Gebieten, gibts natürlich immer auch Kunstbanausen. :)

  8. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: benji83 15.12.10 - 11:54

    Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows [von der Hintertür] betroffen wäre, wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung arbeiten würden um das Problem zu beheben?

  9. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: nöp 15.12.10 - 12:14

    nasaar schrieb:
    --------------------------------------------------------------------------------
    > Denkst du nicht, dass das ein bisschen egoistisch ist?


    Nö, nur aus Erfahrung.
    Gibt ja genug Meldungen von Leuten die Code prüfen und korrigieren und dann vom Entwickler ignoriert werden oder es gar nix passiert.
    Ähnlich wie bei Wikipedia, da hab ich früher auch öfters korrigiert oder Details ergänzt. Aber nachdem JEDES MAL alles wieder gelöscht wurde, weil dem Admin was nicht passte oder weils für ihn nicht relevant genug war hab ichs halt irgendwann sein lassen und kümmer mich jetzt nur noch um meinen Kram.

  10. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Znapped 15.12.10 - 12:14

    Zzap schrieb:
    --------------------------------------------------------------------------------
    > Es ist weder ein Scheinargument, noch widerlegt.

    Doch hat er, da Deine Argumente unsinnig sind:

    > Die hier ist _ein Beispiel_ dafür, dass Software nicht _automatisch_
    > perfekt wird durch Open Source.

    Wer spricht denn von "perfekt"? Es ging um das Thema "Sicherheit" und OS ist per se daher nicht als sicherer einzustufen als CS und das wurde schon mehrfach belegt.

    > Dennoch hat man mehr Möglichkeiten,
    > Software zu verbessern als durch Closed Source.

    Wieso sollte man Software "verbessern" wollen, egal ob OS oder CS? Software die fehlerfrei tut was sie soll und die auch nicht um neue Features erweitert werden soll "verbessert" niemand. Und wieso soll bei CS es schwerer sein Software zu "verbessern"? Nur weil da nicht jeder den Brei versalzen darf? Große Firmen bekommen das selbst hin, die brauchen dazu keine Frickler...

  11. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: zerz 15.12.10 - 12:16

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows betroffen wäre,
    > wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung
    > arbeiten würden um das Problem zu beheben?


    Dazu müssten sie aber das genaue Problem kennen. Und wenn man die Details veröffentlicht kann auch jeder Hacker eben fix nen Hack schreiben und nochmal schnell Schaden anrichten.

  12. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: da 15.12.10 - 12:17

    vinci schrieb:
    --------------------------------------------------------------------------------
    > Du hast echt null Ahnung. Im Falle von Closed Source kannst Du GAR NICHTS
    > reviewen.

    Blödsinn, CS wird genauso reviewed. Nach der Freigabe findet kein Review mehr statt. Du verwechselst das Lesen von Quellcode mit anderen Standardprozessen von denen Du anscheinend keine Ahnung hast.

    > Hier bestand zumindest die Chance, dass Leute die Backdoor
    > finden.

    Ach, bei CS wohl nicht? Komisch, wieso finden Hacker und Cracker dann trotzdem immer Mittel und Wege? Träum weiter...

  13. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: swdev 15.12.10 - 12:19

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows betroffen wäre,
    > wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung
    > arbeiten würden um das Problem zu beheben?

    Klar... weil man hunderte von Menschen braucht um ein Problem zu lösen. Und danach gibts dann auch hunderte von verschiedenen Versionen, stimmts? Du hast Null Ahnung von der SW-Entwicklung... *kopflang*

  14. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: ketchupfabrikbesucher 15.12.10 - 12:57

    eisenmagnet schrieb:
    -----------------------------------------------------------------
    > Ja und die Gefahr dass Hacker sie zuerst finden.

    ...Du meinst bestimmt *böse* Hacker.. :->

  15. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: glaubichkaum 15.12.10 - 13:19

    Windows ist von solchen Problemen definitiv genauso betroffen. Wenn schon Backdoors in Nieschensysteme wie Free BSD eingebaut werden, dann kannst Du Dich 100% darauf verlassen, das die bei MAC OS und Windows noch viel besser funktionieren...

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Mhh denkst du das wenn nicht OpenBSD sondern z.B. Windows betroffen wäre,
    > wir jetzt davon lesen könnten und mehrere hundert Menschen an einer Lösung
    > arbeiten würden um das Problem zu beheben?

  16. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: svvc 15.12.10 - 13:26

    WinKritik schrieb:
    --------------------------------------------------------------------------------
    bist Du so blöd oder willst Du nur trollen?

  17. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Ventilatorjunge 15.12.10 - 14:10

    Bist du so blöd oder willst du die Realität nicht begreifen?

    Aber so ist das ja immer hier, wenn jemand Recht hat wird er sofort als Troll oder Fanboy beschimpft, weil einige die Wahrheit nicht verkraften.

  18. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: blueSTAR 15.12.10 - 14:16

    Weiß jemand, ob dieser Code auch in Windows gelangt ist? Immerhin ist bzw. war dort ein BSD TCP/IP Stack in Verwendung.

  19. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Narf. 15.12.10 - 14:42

    Man weiß nicht mal, ob überhaupt irgendein FBI-Backdoor-Code irgendwohin gelangt ist. Wartet doch erstmal ab, bevor hier euch gegenseitig in Schlamm einreibt.

  20. Re: Scheinargument: "Open Source ist sicherer wegen Review-Möglichkeit"

    Autor: Das Original 15.12.10 - 21:44

    WinKritik schrieb:
    --------------------------------------------------------------------------------
    > Hiermit wäre das Scheinargument widerlegt.


    du hast so recht.

    ich halte es seit jahren für ein scheinargument, und
    endlich gibt es mal konkrete anhaltspunkte, ein real
    existierendes beispiel.

    propertiäre lösungen sind - unter umständen - viel
    sicherer, weil man da wenigstens weiss, wer den code
    geschrieben hat, wenn er denn aus einer hand kommt.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. Staffery GmbH, Berlin
  3. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz
  4. Schwarz Dienstleistung KG, Raum Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Kingston A400 1.92 TB für 159,90€ + Versand statt ca. 176€ im Vergleich)
  2. (u. a. Logitech MX Master Gaming-Maus für 47,99€, Gaming-Tastaturen ab 39,00€, Lautsprecher ab...
  3. (aktuell u. a. AKRacing Masster Premium Gaming-Stuhl für 269,00€, QPAD OH-91 Headset für 49...
  4. 99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Star Wars Jedi Fallen Order: Mächtige und nicht so mächtige Besonderheiten
Star Wars Jedi Fallen Order
Mächtige und nicht so mächtige Besonderheiten

Ein Roboter mit Schublade im Kopf, das Lichtschwert als Multifunktionswerkzeug und ein sehr spezielles System zum Wiederbeleben: Golem.de stellt zehn ungewöhnliche Elemente von Star Wars Jedi Fallen Order vor.


    16K-Videos: 400 MByte für einen Screenshot
    16K-Videos
    400 MByte für einen Screenshot

    Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
    Eine Anleitung von Joachim Otahal

    1. UL 3DMark Feature Test prüft variable Shading-Rate
    2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

    1. X-Pro 3: Neue Fujifilm-Kamera hat Hybridsucher und zwei Displays
      X-Pro 3
      Neue Fujifilm-Kamera hat Hybridsucher und zwei Displays

      Mit der neuen X-Pro 3 setzt Fujifilm wieder auf Retro-Look, seinen X-Trans-2-Sensor und clevere Hardware-Funktionen: Der Sucher ist wahlweise ein hochauflösendes OLED-Display oder ein herkömmlicher optischer Sucher, auf der Rückseite ist ein kleiner Zusatzbildschirm eingebaut.

    2. Elektroauto: Mazda MX-30 öffnet Türen wie der BMW i3
      Elektroauto
      Mazda MX-30 öffnet Türen wie der BMW i3

      Der erste Elektroauto von Mazda ist ein schicker Crossover-SUV mit umfangreicher Ausstattung. Doch bei Reichweite und Ladeleistung hinkt der MX-30 der Konkurrenz hinterher.

    3. Terminator: Dark Fate: Die einzig wahre Fortsetzung eines Klassikers?
      Terminator: Dark Fate
      Die einzig wahre Fortsetzung eines Klassikers?

      Terminator: Dark Fate ist das direkte Sequel zu James Camerons Terminator 2. Es ist der sechste Film der Reihe, geriert sich aber als dritter Teil. Alle Filme, die nach 1991 kamen, werden geflissentlich ignoriert.


    1. 12:35

    2. 12:20

    3. 12:03

    4. 11:58

    5. 11:30

    6. 11:17

    7. 11:02

    8. 10:47