Hallo ihr,
Mir ist vorhin der Gedanke gekommen, dass ja das Quelloffene eigentlich auch ein Sicherheitsrisiko birgt. Denn wen jeder den Quellcode frei auslesen kann, ist es doch auch möglich, statt Fehler zu berichten, diese auszunutzen?
Das Wiederum würde ja ein sehr großes Sicherheitsloch für alle Open-Source geschichten bedeuten? Oder liege ich da falsch?
Grüße
Hewal
KarstenW 
Hewal „Open-Source und Viren“
Prinzipiell hast du schon Recht. Aber, nur weil man den Sourcecode von Windows oder Unix nicht offiziell bekommt heißt das noch lange nicht das Hacker den Sourcecode von Windows und kommerziellem Unix nicht haben.
Denke mal an das Hacken des amerikanischen Stromnetzes vor einer Zeit. Die Firmen verwenden mit Sicherheit keine Open Source Software und trotzdem gelingt es Hackern die Rechner des amerikanischen Stromnetzes zu kompromitieren (nur mal so als Beispiel).
Eigentlich ist Open Source dafür gedacht das die Programmierfehler schneller erkannt und beseitigt werden. Man kann nicht ausschließen das Scriptkiddies Programmierfehler ausnutzen .
PS: Gerade deshalb weil Programmierfehler in Software enthalten ist, sollte man auf einem Server nur ein Minimalsystem installieren. Man sollte aus Sicherheitsgründen keinen XServer und auch keinen Desktop auf einem Server installieren. Unix oder Linux kann man auch ohne grafische Programme konfigurieren, zumindest die Linuxdistribution Debian .
Die Sicherheit des Systems muß man selbst konfigurieren.
Hewal KarstenW „Prinzipiell hast du schon Recht. Aber, nur weil man den Sourcecode von Windows...“
Naja bei meiner Überlegung ging es nicht darum, wie einfachh der jeweilige Sourcecode zu Cracken ist, sondern eher darum, ob das evtl, wenn Linux vwerbreiteter ist, ob irgendwann für die Hacker und Cracker Linux als neue Spielwiese entdeckt werden könnte?!
Und zwar nicht insoweit, einfach schadhaften Quellcode hinzuzufügen (denn die Distris kontrollieren dies ja, bevor sie offiziell in den Repos landen) sondern eben um eigenständige Software zu entwickeln, die diese "löcher" ausnutzen könnten?
Grüße
Hewal
KarstenW Hewal „Naja bei meiner Überlegung ging es nicht darum, wie einfachh der jeweilige...“
Ich kann nur für Debian sprechen obwohl ich kein Debian Entwickler bin. Bei Debian wird mit Hilfe von GPG vor der Installation die Echtheit des Debian Paketes geprüft.
Deshalb muß man auch von Zeit zu Zeit die Public Keys bei Debian aktualisieren. Das passiert automatisch bei einem Sicherheitsupdate.
Ich würde mal behaupten wenn ein Debian Entwickler Schadcode verbreiten würde, dann würde das wahrscheinlich schnell erkannt werden und derjenige Entwickler fliegt aus dem Debian Project heraus.
Sicherheitslöcher werden bei Linuxprogrammen sehr schnell geschlossen.
Max Payne Hewal „Open-Source und Viren“
Grundsätzlich hast Du Recht; andererseits gibt es bei Open Source auch eine sehr große "Entwicklergemeinde", so dass der Quelltext von sehr vielen fachkundigen Entwicklern gelesen wird.
Sicherheitsrisiken werden somit recht schnell entdeckt und eben oft nicht nur von einem Entwickler, sondern von mehreren "parallel".
Synthetic_codes Hewal „Open-Source und Viren“
Hi Hewal. Also ich will mich im prinzip den Vorrednern anschliessen. Sicher, wenn jeder die sourcen verändern kann, kann auch jeder malware einprogrammieren. Ein prominentes beispiel sind derzeit die Werbepartner der Firma Offerpal Media, die für Onlinegames Werbebasierte Payment Methoden anbietet. Einige der Werbemethoden basieren auf "Lade Programm XXX herunter und erhalte YYY". Tatsächlich sind diese Downloadangebote fast ausschliesslich freeware (OS) tools, die aber zu 95% mit Spyware und Trojanern verseucht sind.
Nun, was kann man dagegen tun?
Vielleicht ist dir schon aufgefallen, dass viele Open Source PRogrammierer bei den Downloads ihrer Quell/binary Pakete MD5 oder SHA1 hashes mit dazu schreiben. Den normal anwender kümmert das wenig, er ist zu dumm, zu begreifen was hier läuft. Für den fortgeschrittenen/versierten anwender hingegen lässt sich mit diesen hashes prüfen, ob die Software die er heruntergeladen hat auch wirklich das ist, was sie zu sein verspricht. Sicher, das ist keine 100%ige garantie, aber Downloadangebote, die modifizierte OS Software mit Malware bereitstellen, sprechen sich in der regel recht schnell herum, eben weil alleman in die sourcen glotzen dürfen.
Nicht zuletzt ist ja immernoch eine der Grundregeln der der Kryptographie und IT-Sicherheit: "Security by Obscurity is no Security"
KarstenW Synthetic_codes „Hi Hewal. Also ich will mich im prinzip den Vorrednern anschliessen. Sicher,...“
Die MD5 Prüfsummen und SHA1 Prüfsummen sind nur dazu da , damit man nach dem Download die Fehlerfreiheit des Paketes überprüfen kann. Es kann durch Softwarefehler oder Hardwarefehler passieren das die Pakete fehlerhaft abgespeichert werden
Eine MD5 Prüfsumme kann jeder erstellen und damit die "Echtheit " des Paketes vorgaukeln. Die Secret Keys von GPG hat nur der Entwickler selbst.
Du mußt die Echtheit mit dem Public Key des Entwicklers und dem Programm GPG überprüfen. Das passiert bei Debian immer automatisch bevor das Paket installiert wird.
Hewal KarstenW „Die MD5 Prüfsummen und SHA1 Prüfsummen sind nur dazu da , damit man nach dem...“
Ich stelle hier nicht die Sicherheit der "offiziellen" Pakete in Frage. Da denke ich schon auch, dass man sich gewisse Software nicht von irgendeiner Hinterwaldseite runterladen sollte.
Mein Gedankengang war eher, dass durch die offenheit jeder weiß, wie die einzelnen Programme und Bibliotheken ticken und AUFGRUND dessen ein neues Programm schreiben, welches eben böswillige absichten verfolgt.
Die nächste Frage wäre dann natürlich, wie ein solches Programm dem Endbenutzer untergejubelt werden könnte?
Grüße
Hewal
KarstenW Hewal „Ich stelle hier nicht die Sicherheit der offiziellen Pakete in Frage. Da denke...“
Ein Vireprogrammierer bin ich nicht. Viren sind so programmiert das sie sich selbst kopieren und an alle möglichen Binärdateien selbstständig anhängen.
Bis jetzt gibt es keinen Virus welcher sich automatisch an exe Dateien von Windows und an ELF Binärdateien von Linux anhängt. Keine Ahnung ob es so schwer zu programmieren ist. Erschwerend kommt dazu das sich die Binärschnittstellen bei Linux sehr häufig ändern.
Wenn man ein Kernelupdate durchführt, muß man die Treiber neu installieren, weil sich die Binärschnittstelle des Kernels geändert hat.
Schadsoftware ist immer darauf angewiesen das sie root Rechte bekommt. Da man normalerweise die Programme NICHT unbedingt mit root Rechten starten sollte, kann so ein Schadprogramme vielleicht gar nicht so großen Schaden anrichten wenn es als normaler User eingeschleppt wurde. Aber ausschließen kann man es nicht das es irgendwann mal Schadsoftware für Linux geben kann.
Bei Unixsystemen wird immer erstmal versucht mit einem guten Konzept die Systemsicherheit zu erreichen und nicht unbedingt auf Antivirenprogramme zu setzen. Der Anwender kann auch sehr viel zur Systemsicherheit beitragen. Aber meiner Erfahrung nach interessieren sich die meisten Anwender nicht für die technischen Details des Systems und können deshalb die Systemsicherheit gar nicht so gut konfigurieren.
Man kann auch Windowssysteme sicherer konfigurieren . Aber welcher Windowssanwender konfiguriert schon einen Mehrbenutzermodus wie bei Unix ?
"Die nächste Frage wäre dann natürlich, wie ein solches Programm dem Endbenutzer untergejubelt werden könnte?"
Das kommt immer darauf an wie clever die Anwender sind und wie gut sie ihr System kennen und dadurch das System sicher konfigurieren können ;-)
Ein Betriebsystem ist nie von allein sicher. Man muß es sich sicher konfigurieren. Dazu braucht man aber gute Konfigurationsmöglichkeiten wie bei Unix ,die es bei Windows teilweise gar nicht gibt. Windows soll ja sehr intuitiv bedienbar sein .
Systemsicherheit und Benutzerfreundlichkeit schließen sich gegenseitig aus.
Hewal KarstenW „Ein Vireprogrammierer bin ich nicht. Viren sind so programmiert das sie sich...“
KarstenW Hewal „ Verständlicherweise. Schließlich sind die meisten PC nutzer diese, die mit...“
Wenn man Linux im Desktopbereich einsetzt, dann ist es auch nicht schwer zu administrieren. Desktoprechner werden in der Regel von innen angegriffen. Wenn man keine Raubkopien installiert , auf keine E-Mail Anhänge von unbekannten Absendern klickt , dann kann eigentlich auch nicht soviel passieren. Bei HTML E-Mail muß man etwas aufpassen , weil sich in HTML Code Javaprogramme verstecken lassen, die dann wiederum Schadcode ausführen können. Wenn bei E-Mail auf Nummer Sicher gehen will, darf man gar keine E-Mail im HTML Format annehmen.
Ich installiere für Firefox noch ein paar Addons:
-Noscript
-Adblocker
-Ad Block Plus und
-Firekeeper
damit kein Internetserver im Hintergrund auf meinem Rechner Schadsoftware installieren kann.
Borlander KarstenW „Wenn man Linux im Desktopbereich einsetzt, dann ist es auch nicht schwer zu...“
[ ] Du kennst den Unterschied zwischen Java und JavaScript.
Ich installiere für Firefox noch ein paar Addons:
Und die sind alle von einem Dir persönlich bekannten und vertrauensseligen Debian-Entwickler mit GPG signiert?
KarstenW Borlander „ Du kennst den Unterschied zwischen Java und JavaScript. Und die sind alle von...“
Beim nächsten Debian Entwicker Treffen werde ich ein paar Leute persöhnlich kennen lernen.
Ich vertraue den Debian Entwickler einfach mal so.
Borlander KarstenW „Ein Vireprogrammierer bin ich nicht. Viren sind so programmiert das sie sich...“
Borlander Hewal „Ich stelle hier nicht die Sicherheit der offiziellen Pakete in Frage. Da denke...“
Synthetic_codes KarstenW „Die MD5 Prüfsummen und SHA1 Prüfsummen sind nur dazu da , damit man nach dem...“
Hi karsten. Selbstverständlich hast du recht. worauf ich mich bezog, ist dass die meisten OS entwickler ihre Progs nicht selbst hosten. Viele nutzen ja z.b. sourceforge oder privt zur verfügung gestellte mirrors(zb VLC).
Damit kann der jeweilige hoster theoretisch veränderte quellen einstellen. Und sowas lässt sich mit dem md5/SHA1 von der herstellerseite aus entdecken.
Abgesehen davon sollte man auch einem GPG key nicht allzusehr trauen. Viele authoren erstellen ihre GPG Signaturen selbst, und jemand der schädlichen quellcode verbreitet kann das natürlich genauso machen...
