Überwachung ?

Hier können Sie auf Deutsch diskutieren. Bedenken Sie, dass Sie in den englischen Foren mehr Nutzer ansprechen.

Moderators: frik85, EmuandCo, Dr. Fred

florian
Posts: 462
Joined: Tue Nov 01, 2005 2:19 am
Location: Germany

Re: Überwachung ?

Post by florian »

Ich nehme an, dass er ganz allgemein über Hintertüren in Software - wie eben auch ReactOS - besorgt ist. Siehe aktuell zum Beispiel "Backdoors in Video-Encodern auf Huawei-Chips entdeckt - Ursprung unbekannt" bei Heise Online.

Somit ist die Frage generell schon berechtigt, auch wenn sie die Gefühle aller redlichen OpenSource-Entwickler verletzt.

Gibt es über die übliche Antwort (Opensource könne sich jeder anschauen und auf Hintertüren prüfen) vielleicht ergänzende Hinweise, wie Hintertüren zum Beispiel über ein Vier-Augen-Prinzip etc. verhindert werden? Denn Otto Normalnutzer wird den Quellcode weder verstehen noch sich hierfür überhaupt Zeit nehmen...

Vielen Dank.

xpert
Posts: 223
Joined: Mon Jan 21, 2008 5:10 pm
Location: Germany
Contact:

Re: Überwachung ?

Post by xpert »


Nano
Posts: 6
Joined: Mon Nov 02, 2020 11:11 pm

Re: Überwachung ?

Post by Nano »

-freelancer- wrote:
Tue May 26, 2020 6:55 pm
Hat ReactOS auch solche absichtlich offengehaltenen Sicherheitslücken ?
Nun, für Open Source gilt:
Es kann absichtlich eingebaute Sicherheitslücken geben und es können Zero Day Sicherheitslücken geben, die nur einem kleinen eingeschworenen Nutzerkreis bekannt ist. Z.B. ein Geheimdienst, der die Infos dazu aufkauft und die Entdecker oder Entwickler gegen Bezahlung zur Verschwiegenheit verpflichtet.

Absichtlich offengehaltene und gleichzeitig bekannte Sicherheitslücken kann es eigentlich nicht geben, weil die dann von der Community geschlossen werden würden.
Allgemein bekannte Sicherheitslücken kann man nämlich nicht geheim und gleichzeitig offen halten. Irgendeiner wird sich schon finden, der offensichtliche Lücken dann schließt.

Was aber möglich ist, ist das absichtlich eingebaute Sicherheitslücken lange Zeit von den an deren Entwicklern und Community Beteiligten nicht entdeckt werden und der einzige, der davon Kenntnis hat, ist der Entwickler oder Code Beitrager, der sie absichtlich eingebaut hat, sowie natürlich die Organisation die ihn dafür bezahlt hat oder für die er arbeitet. Damit ihm das aber gelingt, muss er den Code so schreiben, dass er die Kenntnis die Sicherheitslücke zu kennen, also mit Absicht eingebaut zu haben, abstreiten kann und gleichzeitig muss der Code kompliziert genug sein, damit derjenige, der den Code abnickt, dies nicht bemerkt.
So könnte es jedenfalls bspw. beim OpenSSL Heartbleed Bug gewesen sein.

Der einzige Schutz, abgesehen von teuren Code Audits, gegen so etwas, wobei das kein hundertprozentiger Schutz ist, ist somit nur Code einzusetzen, an dem möglichst viele fähige Entwickler beteiligt sind. Damit wenigstens einem die absichtlich eingebaute Sicherheitslücke auffällt.
Dazu sollte das Projekt dennoch möglichst überschaubar sein, damit nicht zu viele Codezeilen an einem Tag abgenickt werden müssen.
Das Verhältnis zwischen Codeabnickern, die drüber schauen, und pro Tag eingebauter Code sollte also gut sein.

Bei ReactOS läuft die Entwicklung meiner Meinung nach eher langsam mit wenigen Entwicklern. Da halte ich das absichtliche einschleusen von Sicherheitslücken, die wie ein Bug aussehen vergleichbar mit dem Projekt von OpenSSL.
Da gab's auch nur wenige Entwickler und noch weniger Leute, die sich tatsächlich auch den Code angesehen haben.

Bei Linux gibt's mehr Entwickler, da stehen die Chancen besser, das jemand den Bug bemerkt. Allerdings kriegt Linux auch jeden Tag nen Haufen neuer Codezeilen dazu. Da ist die Gefahr dann groß, dass doch nicht so viele Entwickler drauf schauen und was durchrutscht.

Da du ein Betriebssystem suchst, wäre der beste Kompromiss wohl OpenBSD, wenn du befürchtest, dass man dich überwachen möchte.

Ein Code Audit wäre wohl zu kostspielig für eine Person.

Und bei proprietären closed source Betriebssystemen kann es absichtlich eingebaute Sicherheitslücken geben, die der Hersteller nicht stopfen will, weil er dafür vielleicht bezahlt wird und du als Nutzer kannst das nicht überprüfen, weil dir der Quellcode fehlt.

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest