Login
Newsletter
Werbung

Thema: RHEL 5.10 Beta verfügbar

1 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von k_tz am So, 21. Juli 2013 um 13:36 #

Solche Lücken, wie Du Sie beschreibst, würden mit der Zeit als "normale" kritische Sicherheitslücken entdeckt werden, das ist bei den BSDs nicht anders als bei Linux. Vielleicht kann sich OpenBSD so auch über die beiden Remote Holes in seiner Geschichte hinwegtrösten. :-)

Bei Closed Source-Code gibt es hingegen kaum eine Kontrollmöglichkeit. Hier kann sich ein Unternehmen tatsächlich hinsetzen und eine Lücke über Jahrzehnte immer wieder in den Betriebssystemcode einbauen, ohne entdeckt zu werden. Und fliegt das dann einmal auf, dann macht man auf "Sorry". Und die Weltöffentlichkeit spielt dann auch noch mit, weil man ja überall hinausposaunen kann, wie doof denn eigentlich ein global agierender Konzern sein muss, dass er eine Sicherheitslücke nicht bemerkt, die seit Mitte der 90er Jahre in seinen Produkten haust. Gott, wie dämlich. :-)

Mit freier Software wäre das so natürlich nicht passiert. Während bei Closed Source-Code die originäre Codeerstellungsfirma von geheimdienstlichen Überwachungs- und Schnüffelorganisationen durchaus zur Mitarbeit bewegt werden kann (geltende Gesetze scheinen dafür wohl schon auszureichen), so müssen sich diese Konsorten im Falle freier Software wenigstens selbst die Hände schmutzig machen. Freiwillig und kostenlos schreibt diesen Code niemand.

Die Frage der Hardware mit Ihren in Hardwarechips gegossenen unfreien Firmwares, die zur Laufzeit in den Kernel geladen werden sowie die neuen Funktionen von unfreien UEFI-Biosen haben wir nun gänzlich außer Acht gelassen. Wäre ich eine geheimdienstliche Schnüffeloganisation, so würde ich genau hier - gewissermaßen plattformübergreifend - ansetzen.

Fazit: Traut niemals blind der Software bzw. Softwarezusammenstellung irgendeiner Firma, traut in diesem Sinne auch keiner staatlichen Organisation. Da ist mir selbst Debian mit seinen gelegentlichen OpenSSL-Debakeln lieber. Das war wenigstens keine Absicht. Und Debian patcht Unsinn wie diese Firefox Health Reports einfach aus neuesten Firefoxversionen heraus. Daran sieht man, dass anscheinend auch der "Spirit" stimmt.

Bei Firmen muss man immer darauf schauen, wie diese sich bisher gebärdet haben, ob diese z.B. jede sich bietende Möglichkeit benutzt haben, mit Nutzerinformationen Geld zu machen. Wenn Firmen private Nutzerdaten zu geschäftlichen Zwecken und zur Gewinnmaximierung verwenden, ohne sich zuvor eine ausdrückliche Opt-In-Erlaubnis beim Betroffenen geholt zu haben, dann sollten schon die Alarmglocken schrillen. Damit kann man den allermeisten Firmen schon nicht mehr vertrauen, die schwarzen Schafe in punkto (Kunden-)Datenschutz sollten mittlerweile hinlänglich bekannt sein.

Meines Wissens betreiben Suse und Red Hat auch Source Code Auditing, um bisher unerkannte Sicherheitslücken in Ihren Softwareprodukten aufzuspüren. Nur ist das so dokumentiert, dass das niemand bemerkt (in Sicherheitsmitteilungen) und es interessiert sich auch kein Journalist dafür. Zudem wäre jede Firma, die Ihr Geld mit freier Software verdient, unrettbar verloren, wenn herauskäme, dass diese in Zusammenarbeit mit einer staatlichen Überwachungs- und Schnüffelorganisation Sicherheitslücken in freie Software eingebaut hätte. Wer also bei klarem Verstand ist, publiziert die zugehörige Anfrage lieber als dass er sich darauf einlässt. U.a. bei Suse und Red Hat kommt für möglicherweise anfragende Organisationen "erschwerend" hinzu, dass die meisten Angestellten die Freie Software-Philosophie tatsächlich ernst nehmen. Das gilt gerade auch für die "Projekt-Chefs" freier Softwareprojekte. Man geht dann mit solchen Anliegen eher in Torvalds- oder besser de Rhaadt-Manier um, d.h. eher so:
http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

[
| Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung