Skip to content

Open Source ist unsicher ...

Irgendwie war ja klar, dass der erste grosse Fehler in einer Open-Source-Software die Closed-Source-Befürworter hervorholt, die marktschreierisch rufen, dass Open-Source-Software unsicher sei.

Das ist Quatsch!

Open-Source-Software ist nicht sicherer oder unsicherer als Close-Source-Software. Punkt. Open-Source-Software ermöglicht es aber, solche Fehler, wie den, der bei Heartbleed gemacht wurde, zu finden. Und nach Fehlern kann nicht nur von den Herstellern der Software, sondern auch auch von Fremden - auch von potentiellen Angreifern - gesucht werden. Genau das geht bei Closed-Source-Software eben nicht.

Dass eine Software Open Source ist, ist eine notwendige, aber keine hinreichende Bedingung dafür, dass man einer Software Vertrauen schenken darf. Für Freie Software gilt genau das gleiche.

Was nun passieren muss, ist, dass nicht alle darauf vertrauen, dass Open-Source-Software "schon irgendwie" von anderen geprüft wird, sondern es müssen aktive Audits stattfinden. Prinzipiell erwarte ich insbesondere von Firmen, die Open-Source-Software einsetzen, dass sie sich - mit Manpower oder finanziell - an solchen Audits beteiligen. Der gefundene Bug macht klar, dass wir nicht darauf vertrauen sollten, "dass es schon jemand anderes macht".

Mir würde es gut gefallen, wenn sich eine Organisation gründen würde, die Spenden entgegen nimmt und solche Audits durchführt. Eventuell liesse sich auch ein Crowdfunding durchführen.

Ach, ja, den Kritikern, die denken, dass Open-Source-Software nur von Amateuren programmiert wird, sei der Beitrag Kritiker zweifeln an der Zuverlässigkeit vom Deutschlandfunk empfohlen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Jens Link am :

*Auch in binär Code kann man (automatisiert) Fehler finden. Gab da IIRC einige Vorträge auf diversen CCC Congressen zu.

Das Problem bei "Open-Source ist sicherer weil der Code auditiert werden kann" ist der Glaube daran, dass das auch jemand macht.

Gerade bei den großen Projekten ist der Code wohl so komplex, dass es nur wenige Leute gibt die diesen (nach langer Einarbeitung) auch verstehen können. Das ist bei Closed-Soruce aber sicher auch nicht besser.

tux. am :

*Open-Source-Software ermöglicht es aber, solche Fehler, wie den, der bei Heartbleed gemacht wurde, zu finden

Hm, ähm, ja, das dauert dann halt schon mal über 20 Jahre (etwa bei Xorg).

Closed Source (etwa Windows) hat den großen Vorteil, dass da meist reichlich Kapital für anständige QS (Auditing) drinsteckt. Das einzige Open-Source-Projekt, das das auch tut, ist offenbar OpenBSD (und die haben immerhin auch eine zahlungskräftige "Foundation", die jetzt mit dem OpenSSL-Fork LibreSSL noch mal einen deutlichen Zuwachs an Spenden einfahren dürfte). Das ist ein bisschen schade.

Stefan Betz am :

*Habe ich auch hier schon mit erwähnt, aber dein Artikel ist natürlich wesentlich ausführlicher als meine kleine Erwähnung am Rande.

Vielen verbinden OSS automatisch mit Sicherheit, dabei bedeutet OSS eben (wie du richtig erklärst) nur das etwas geprüft werden KANN, nicht das dies auch wirklich gemacht wird.

Dee am :

*Es geht ja gerade das Gerücht um, dass das BSI Geld in die Hand nehmen will, um solche Audits durchzuführen. Habe ich hier gelesen: https://thomas-leister.de/allgemein/openssl-und-andere-oss-soll-vom-bsi-staatlich-ueberprueft-werden/

claw am :

*Hallo das ist meine closed source software. Sie validiert Kommunikation mit Partnern und macht crypto. Alles total sicher vertraut mir wir machen auch Audits. Ihr könnt echt alles persönliche damit Tunnel. Ich arbeite auch bestimmt nicht mit Geheimdiensten u.a. zusammen. Ehrenwort. Nein du darfst nicht nachsehen ob die crypto gut genug ist !

Ekkehard am :

*...und weil das so ist, nehme ich jetzt die RecoveryCD von Samsung in die Hand, Laufwerk ist am USB-Port, und dann 'mal zusehen.
NEIN
Grüsse

Dirk Deimeke am :

*Die grosse Herausforderung für die meisten Nutzer von Open-Source-Software ist, sie nur als "grossartig und gratis" zu verstehen.

Am Beispiel Threema kann man sehen, dass Closed-Source-Software nicht per se schon mit "viel Geld vorhanden" gleich zu setzen ist. Das wäre zu kurz gegriffen.

Dirk Deimeke am :

*Ja!

Wir haben das verstanden, es wird Zeit, dass die grössten nutzniessenden Unternehmen, wie beispielsweise Banken und Online-Shops (im Beispiel von OpenSSL), das auch verstehen.

Dirk Deimeke am :

*Das sind sehr gute Nachrichten. Danke für den Link!

Ich hoffe, es bleibt nicht nur bei der Aussage und es folgen Taten.

Dirk Deimeke am :

*Brauche ich auch nicht ... ich habe ja eh keine Ahnung ... ich vertraue Dir voll und ganz ...

Tobi am :

*Open Source hat eben auch das Imageproblem, dass alles offen ist - was auch heisst, das man von jedem Bug was mitbekommt. Wer weiss, was für extrem zentrale Bugs schon von MacOS oder Windows Updates unter den Teppich gekehrt wurden - ohne Panikmeldungen auf Spiegel Online und hübsche Buglogos... Allerdings ist es mir lieber, so etwas offen zu sehen.

Natürlich heißt das im Gegenzug nicht, dass alle Open Source Projekte automatisch sicherer sind. "Linus' Law" ("With enough eye balls all bugs are shallow", Eric Raymond) funktioniert eben nicht bei jedem Projekt, sondern nur bei solchen, die in der Öffentlichkeit stehen und ein gewisses Maß an Sexyness haben...

Dirk Deimeke am :

*Damit kann ich Dir nur Recht geben.

Die Frage ist, wie wir diesen Umstand verbessern können.

Professor Matthew Green hat das Open Crypto Audit Project (OCAP) gestartet, das auch den Audit von TrueCrypt bezahlt hat, vielleicht sollte man sich daran hängen.

Ekkehard am :

*...warum ist die Banane...usw und Pinocchio bin ich aaauch nicht! :-D

Ausserdem endet mein Urlaub und ich habe einen Flieger!
Mit anderen Worten: keine Zeit mehr für Blödsinn oder Schabernack.
RotHänselschüchen besteht auch auf altehrwürdig:
"Denk nicht mal 'dran, mir mein Xubuntu..."
Immerhin, das letzte Wort habe ich: Ja,Schatz; nein, bestimmt nicht, Liebes...
gidday Ekkehard

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen