Login
Newsletter
Werbung

Thema: Spionageskandal: Linux-Kernel frei von NSA-Manipulationen?

65 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Anonymous am Di, 10. September 2013 um 13:27 #

... vor ein paar Monaten wäre jemand, der hier solche Verdachte äußert, als Alu-Hut-Träger verunglimpft worden...

[
| Versenden | Drucken ]
1
Von brrrrr am Di, 10. September 2013 um 13:33 #

"So stellt Alan Cox die Frage, ob US-basierte Linux-Distributoren bereits Hintertüren für die NSA in ihre Binärpakete eingebaut haben."

Genau diese Frage stelle ich mir auch.

Wenn sich schon Google und Yahoo, Apple und Microsoft diesem Druck von NSA und Co. nicht entziehen können, wie sollten denn das Red Hat oder Attachmate, der Inhaber von Suse, bewerkstelligen?

Und wenn man sieht, wer z.B. 2010 Vorstandsvorsitzender von Red Hat geworden ist, nämlich ein ehemaliger General der US Army, dann besteht IMO durchaus die Gefahr, dass man hier wohl vermutlich auch gemäß dem US Patriot Act handeln würde, wenn man es denn tun müsste:
http://www.pro-linux.de/news/1/16098/hugh-shelton-wird-vorstandsvorsitzender-von-red-hat.html

Ob denn Debian eine Alternative ist, als firmenunabhängiges Linux-Projekt? Hier muss man ja anführen, dass Debian solche "Entropiefehler" bereits gewissermaßen unwissend durch einseitige, geringfügige Codeänderungen aus dem Openssl-Quellpaket "freigesetzt" hat, siehe Openssl-Bug.

Und jetzt auch noch der Hinweis auf Intel, einen der wichtigsten Hardwarehersteller der Welt: Wenn unter Umständen schon entsprechende CPUs samt Microcode im NSA-Sinne "beeinflusst" sein sollten, wie soll man dann überhaupt noch sicher sein, dass man in Hardware und Software gegossene Hintertüren überhaupt noch als solche erkennt?

Was ist mit den von uns meist verwendeten, unfreien BIOSen wie z.B. diesem neuen UEFI-BIOS?

Es macht sich eine massive Verunsicherung breit.

[
| Versenden | Drucken ]
  • 0
    Von Markus B. am Di, 10. September 2013 um 14:12 #

    Nicht nur bei US-amerikanischen, auch bei UK-basierten Softwarefirmen muss man von Hintertüren in den Binaries ausgehen - nicht als Frage, sondern als Fakt.

    Das bedeutet, dass Ubuntu ebenfalls in diese Kategorie fällt - das sollten sich mal alle überlegen, die immer mit dem Finger auf Windows zeigen.

    Detto müssen auch Gentoo, Arch Linux, ja eigentlich alle wichtigen Linux-Distributionen längst als kompromittiert angesehen werden.

    Auch bei nicht-US und -UK-basierten Distris besteht dieses Problem, hier werden eben Leute eingeschleust oder bestochen. Die Intentionen des Herrn Roeckx bei Debian waren so offensichtlich im Sinne der NSA, er lieferte auch nie eine glaubwürdige Erklärung für seine ungewöhnliche Vorgehensweise (außer "ich hab eh gefragt, leider nur ganz allgemein in leider der falschen Mailingliste"), dennoch ist er bis heute Maintainer einer Reihe von Paketen und sogar in der "Debian-Hierarchie" aufgestiegen - das spricht Bände bezüglich der Ignoranz der Linux-Community.

    Auch das ganze Netzwerk-Equipment von Juniper, Cisco und Co. ist ohne Frage mit Backdoors versehen, man ist de facto chancenlos.

    Ich verwende Linux schon immer in diesem Bewußtsein (deswegen seit Jahren als "Aluhutträger" betitelt, seit 2013 interessanterweise nicht mehr) und erfreue mich ganz einfach an der größeren Flexibilität, die mir dieses System gegenüber Win und Mac bietet. Alles andere ist Schall und Rauch.

    [
    | Versenden | Drucken ]
    • 0
      Von brrrrrr am Di, 10. September 2013 um 15:07 #

      Wenn man sich hier
      https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
      die Geschichte rund um den von einem Red Hat-Ingenieur eingreichten Patch anschaut, dann kommen einem aber auch erhebliche Zweifel.

      Siehe hierzu vorab den vorgeschlagenen Patch:
      https://lkml.org/lkml/2013/9/5/212

      Ich zitiere Theodore T'so aus seinem Google Plus-Ausführungen, die unter dem oben angegebenen Link nachgelesen werden können:

      "I am so glad I resisted pressure from Intel engineers to let /dev/random rely only on the RDRAND instruction.

      (...)

      Oh, I should add that just today I had to fight back an attempt by a Red Hat engineer to add a configuration option to blindly trust RDRAND and bypass the entropy pool: https://lkml.org/lkml/2013/9/5/212

      (..)

      This past week, it was a Red Hat engineer who wanted to put in a run-time configuration parameter that would bypass the entropy pool. When I asked why, he couldn't give me a cogent explanation, other than performance. When I pointed out that all of the performance critical callers were already using a CRNG seeded from the random driver, and asked him to give me the specific place where performance would make a difference, he couldn't give me a straight answer.

      I don't want to assume that either of these engineers were taking a position that was formally endorsed by their employer. The most recent one was strange though, if for no other reason than he was completely unable to give me a justification that made any sense."

      Der Debian Openssl-Bug ist übrigens der Grund, warum ich auf sicherheitsrelevanten Systemen nachfolgend kein Debian mehr eingesetzt habe. Ob das nun so eine gute Idee war, daran kommen mir jetzt erhebliche Zweifel. Persönlich ordne ich Debians Openssl-Bug eher blanker Inkompetenz zu als NSA-gesteuerter Absicht. Dadurch wird der Openssl-Bug natürlich auch nicht entschuldbarer.

      [
      | Versenden | Drucken ]
      • 0
        Von nsa-fan am Fr, 13. September 2013 um 22:47 #

        Mich wundert, dass hier der Name Scientific Linux noch nicht gefallen ist, einer Koproduktion von Fermilab (der US-Regierung unterstellt) und der European Organization for Nuclear Research (CERN). Die ansonsten hochgelobte Distri, war nie Teil der Ausspähdebatte, weder jetzt, noch vor dem NSA-Skandal.
        Mir war die Distri schon immer wegen der direkten Regierungsbeteiligung der USA suspekt.. Oder war ich schon immer etwas paranoid... :o

        [
        | Versenden | Drucken ]
      0
      Von Gast_ am Di, 10. September 2013 um 15:09 #

      "Detto müssen auch Gentoo, Arch Linux, ja eigentlich alle wichtigen Linux-Distributionen längst als kompromittiert angesehen werden."

      zumindest unter Arch kann ich alle Binärpackete selber bauen aus öffentlich einsehbaren Quellen. Sind nur 3 Zeile dafür nötig.

      Macht zwar das updaten nervig aber man kann sicher sein, dass die Maintainer nichts unbemerkt reinpachen vorm compilieren. Natürlich könnte die Archtoolchain jederzeit unbemerkt was hineincompilieren. Selbst wenn man die toolchain auch selber baut kann unbemerkt was reincompiliert werden.

      keine Ahnung wie das bei anderen Distrios läuft aber ein bisschen Sicherheit gewinnt man da ja schon.

      Am besten ist, man schreibt seinen eigenenen Compiler ins ASM und baut _alles_ selber, dann ist man (zumindest was Software angeht) 100% sicher ;)

      [
      | Versenden | Drucken ]
      • 0
        Von blablabla am Mi, 11. September 2013 um 10:40 #

        Gentoo, Arch Linux und debian sind KEINE Firmen, weshalb sollten die kompromitiert sein? Bei Ubuntu RH und Suse sieht das jedoch ganz anders aus.

        [
        | Versenden | Drucken ]
        • 0
          Von DeerHunter am Mi, 11. September 2013 um 13:33 #

          :x
          Denk nochmal darüber nach. Entwickler sind Menschen, was wäre Dein Preis ?
          :angel:

          [
          | Versenden | Drucken ]
          • 0
            Von blablabla am Fr, 13. September 2013 um 09:20 #

            Kein Preis der Welt....gut ne Milliarde ist ok, aber ne Million?? Dafuer das ich in keinem OSS-Projekt mehr mitmachen kann, weil es aufgefallen ist das ich ein Arsch bin, und mein eigenes BS verseuche.

            Stimmt Programmierer und Admins sind menschen....die sich manchmal gegen ganze Staaten auflehnen, geil nicht?

            [
            | Versenden | Drucken ]
          0
          Von gustl am Mi, 11. September 2013 um 21:13 #

          Die Programmierer die die NSA anstellt sind sicher keine Idioten, und welches OpenSource Projekt lehnt jemanden ab, der gute und viel Arbeit liefert.

          Es dürfte meiner Meinung nach sehr leicht sein, einen trojanischen Programmierer bei diversen OpenSource Projekten unterzubringen.

          Und wenn der seine generelle Arbeit im Sinne der Distribution gut macht, und nur sehr punktuell Hintertürchen einbaut, besteht eine hohe Wahrscheinlichkeit dass man diese Hintertürchen sehr spät entdeckt.

          [
          | Versenden | Drucken ]
          0
          Von .-,.-,-.,-.,.-,.-, am Mi, 11. September 2013 um 23:48 #

          Bei "Suse" darf man nicht vergessen, dass Suse nicht der Upstream von openSUSE ist, sondern umgekehrt.

          Und was openSUSE-Community-Entwickler und -Kontributoren anbelangt - das gilt auch für diejenigen im Ubuntu- und Fedora-Bereich -, hier kommt schon aus ideologischen Gründen an diesen kein verseuchter Patch vorbei, wenn denn der Fehler nach menschlichem Ermessen erkennbar ist und dem Maintainer als solcher bewusst wird.

          Und falls sich so etwas Suse- oder Red Hat-Entwickler erlauben sollten, was ich nachwievor selbst für sehr, sehr unwahrscheinlich halte, dann gäbe es openSUSE wie Fedora nicht mehr lange. Die Folgen würden absolut verheerend sein. Ob dann auch die zahlreichen Großkunden noch SLES- und RHEL-Verträge abschließen würden? Wohl eher nicht.

          Fazit: Schon rein aus wirtschaftlichen Zwängen heraus werden SLES wie RHEL keine absichtlich eingebauten Hintertüren enthalten. Und ideologisch gesehen gleich gar nicht.

          Zudem veröffentlichen Suse und RHEL immer die Sourcen Ihrer Server-Flaggschiffprodukte. Und dann sollten Sie es zulassen, dass absichtlich Hintertüren eingebaut werden, die theoretisch jeder einsehen kann? Das wäre absolut hirnrissig.

          [
          | Versenden | Drucken ]
      0
      Von Atalanttore am Di, 10. September 2013 um 20:41 #

      Nicht nur bei US-amerikanischen, auch bei UK-basierten Softwarefirmen muss man von Hintertüren in den Binaries ausgehen - nicht als Frage, sondern als Fakt.

      Das bedeutet, dass Ubuntu ebenfalls in diese Kategorie fällt - das sollten sich mal alle überlegen, die immer mit dem Finger auf Windows zeigen.

      Verdammt! Das Ubuntu auch betroffen sein könnte, daran habe ich noch gar nicht gedacht.

      [
      | Versenden | Drucken ]
    0
    Von Karl-Heinz am Di, 10. September 2013 um 16:19 #

    SUSE stellt immerhin Ihr build system unter die GPL und, noch viel wichtiger, sie bauen Ihr distro auch transitiv durch (macht afaik sonst keine distro). Dh. die binär Ergebnisse sollten wirklich relativ genau übereinstimmen.

    Jetzt fehlt nur noch ein tool das die vergleicht und nach Abweichungen sucht ....

    [
    | Versenden | Drucken ]
    • 0
      Von skinnie am Di, 10. September 2013 um 16:58 #

      Sollte ich mit meiner Vorliebe zu opensuse etwa zufällig den richtigen Riecher gehabt haben? Auch wenn die Gründe dafür hauptsächlich ganz andere sind.

      Wie unabhängig ist Suse Linux als ausgegründetes Unternehmen eigentlich wirklich? Dass die in Nürnberg sitzen, spielt natürlich auch eine Rolle bei meiner Wahl der Distribution, wenn auch nur eine untergeordnete. Hauptsächlich sind meine Gründe YAST (bitte nicht schlagen), die gute KDE Einbindung und dass Suse viele Entwickler von KDE bezahlt, sowie die gute deutsche Sprachunterstützung. Leider lässt die deutschsprachige Dokumentation in letzter Zeit immer mehr zu Wünschen übrig.

      [
      | Versenden | Drucken ]
      0
      Von Hmmm am Di, 10. September 2013 um 22:27 #

      Oder man nimmt einfach Prüfsummen? ^^

      [
      | Versenden | Drucken ]
0
Von WEG am Di, 10. September 2013 um 13:41 #

> »vertrauenswürdigen Binärdateien«[...] Bitcoin hat bereits einige Arbeit in dieser Richtung geleistet. :

@pro-linux: Quelle dafür?

Weiss da jmd etwas genaues? Habe nichts dergleichen gefunden.

Danke

gwe

[
| Versenden | Drucken ]
  • 0
    Von Flying Circus am Di, 10. September 2013 um 15:55 #

    https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J

    (Eintrag von Jeff Garzik vom 05.09.2013)

    [
    | Versenden | Drucken ]
    • 0
      Von skinnie am Di, 10. September 2013 um 17:06 #

      Und jetzt soll ich Gockel und damit der NSA meine Daten hinterherwerfen? :x

      Dienste wie Gockel und Fratzenbuch sind bei mir schon lange gesperrt. Ich kann nicht nur über diese Datenkraken schimpfen und ihnen trotzdem meine Daten wissentlich hinterher werfen. Sorry, aber das empfände ich als doppelzüngig und inkonsequent.

      [
      | Versenden | Drucken ]
      • 0
        Von blubb am Di, 10. September 2013 um 21:51 #

        Ohne Google kann man sich im Internet doch quasi gar nicht mehr bewegen und ich spreche hier nicht von der Suchmaschine, sondern von googleapis, welche auf sehr vielen Seiten zur Verwendung kommen (genauso wie Amazon Cloud, yahooapis uvm.).
        Google Analytics ist auch sehr häufig implementiert, wobei man hier zumindest blocken kann ohne, dass die Seiten unverwendbar werden.

        [
        | Versenden | Drucken ]
        • 0
          Von irgendwer am Mi, 11. September 2013 um 15:42 #

          Firefox mit Request Policy ohne Defailt Whitelist (oder anderer Browser mit ähnlichem Plugin) und alles, was dann nicht mehr funktioniert, ohne dass man "böse" includes erlaubt, meiden.
          Ja, das ist schon so einiges, aber man kommt auch gut ohne das klar.

          [
          | Versenden | Drucken ]
0
Von Talislanta am Di, 10. September 2013 um 13:56 #

Was sagt etwa Theo de Raadt zu dem Thema "Manipulationsverdacht durch NSA & Co."? Ist es aufgrund der Struktur auch dort denkbar?

Oder sollten wir bald die Archivkartons öffnen, und OpenVMS, Coherent oder andere wieder hervorholen? ;)

[
| Versenden | Drucken ]
  • 0
    Von blablabla am Mi, 11. September 2013 um 13:28 #

    Also bitte kakt euch doch nicht in die hosen, sperrt einfach auf der firewall den IP range der NSA ;-) problem geloest...

    [
    | Versenden | Drucken ]
    0
    Von brrrrrr am Mo, 16. September 2013 um 00:01 #

    Ich glaube, de Raadt denkt sich wahrscheinlich dasselbe wie diejenigen Leute hier, deren ursprünglcihe Verschwörungstheorien nun Wirklichkeit geworden sind.

    Siehe
    http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html

    und

    http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

    NSA, FBI, ..., alle lieben freie Software. Da es hier anscheinend keine kooperativen Hersteller gibt, muss man sich selber "darum" kümmern. Nichts als Unkosten. Aber was tut man nicht alles, um die USA zu beschützen. :-)

    [
    | Versenden | Drucken ]
1
Von HMEDW am Di, 10. September 2013 um 13:56 #

Zufallszahlen arbeiten deterministisch
und sind deshalb immer reproduzierbar.

Das Linux jedoch von den verfickten Geheimdiensten angreif-
bar ist, ist bedenklich und gefährlich. Und wenn die gierige
Großindustrie (Urheberrecht, Netzneutralität) und der Staat
(Bundestrojaner) eingreift, wird es kriminell. Ich schätze, man
muß in diesem postdemokratischen und präfeudalen Zeitalter
in den Untergrund.

Sorry, ist so.

HMEDW

[
| Versenden | Drucken ]
  • 0
    Von RudiL am Di, 10. September 2013 um 14:01 #

    Ich schiebe auch meine Maus deterministisch und drücke jeden Tag dieselben Tasten in identischen Zeitabständen.
    Auch der Temperaturanstieg meiner CPU ist deterministisch, und die NSA weiß auch vorher, wie hoch die Umgebungstemperatur sein wird, da sie das Wetter kontrolliert.

    Aber keine Sorge. Nur weil Du paranoid bist, heißt das nicht, dass sie nicht hinter Dir her sind.

    [
    | Versenden | Drucken ]
    • 0
      Von Herzlos am Di, 10. September 2013 um 14:11 #

      Auch das Rauschen eines Mikrofons oder eines Bildsensors kann zum Erstellen von Zufallszahlen dienen.

      [
      | Versenden | Drucken ]
      0
      Von HMEDW am Di, 10. September 2013 um 21:36 #

      > Aber keine Sorge. Nur weil Du paranoid bist, heißt das nicht, dass sie nicht hinter Dir her sind.

      Und wenn schon, ich schicke sie zu dir rüber (,,Der da hat Linux!'').

      [
      | Versenden | Drucken ]
    1
    Von Erik_ am Di, 10. September 2013 um 14:25 #

    Na dann mach doch mal, geh' in den Untergrund anstatt nur darüber zu reden.

    Wie? Ist doof? Das Leben, wie man es gewohnt ist, aufzugeben? Mach Sachen...


    lg
    Erik

    [
    | Versenden | Drucken ]
    0
    Von spartacus am Di, 10. September 2013 um 14:56 #

    Nur durch eine Software (zB rand()/srand()) erzeugte Zufallszahlen sind deterministisch und deshalb reproduzierbar. Gerade deswegen werden physikalische Zufallsgeneratoren eingesetzt (zB thermisches Rauschen an einem Widerstand). Diese Zufallszahlen sind dann nicht mehr deterministisch. Ansonsten würden sich viele Probleme in der Elektronik viel einfacher lösen lassen.

    [
    | Versenden | Drucken ]
    • 0
      Von L0rD 0v€rn€rD am Di, 10. September 2013 um 15:49 #

      Mathematiker mögen mir lächelnd ins Gesicht spucken, aber warum nicht folgendes tun: Man nehme zwei oder drei vermeintlich deterministische Zahlen und verrechne diese mathematisch miteinander um eine neue Zahl zu erzeugen. Das müsste doch die Sicherheit erheblich erhöhen, oder?

      [
      | Versenden | Drucken ]
      • 0
        Von finger am Di, 10. September 2013 um 18:05 #

        Nein.

        In deinem Beispiel wurden beide (Pseudo-)Zufallszahlen von denselben, dir zu diesem Zeitpunkt verfügbaren Parametern abgeleitet und wenn der Angreifer diese Parameter kennt, kann er die erste, die zweite oder gleich beide berechnen.

        Weitere Beispiele für Bauchgefühl vs. Mathematik:

        Die Vereinigung zweier abzählbar unendlichen Mengen ist immer noch abzählbar unendlich.

        O(c n) ist immer noch ~ O(n) egal für welches c \in N.

        usw.

        [
        | Versenden | Drucken ]
    0
    Von gol am Di, 10. September 2013 um 16:14 #

    Nimm den Zerfall einiger Isotope, dann hast du genug Entropie.

    [
    | Versenden | Drucken ]
    0
    Von gustl am Mi, 11. September 2013 um 21:19 #

    Entspann dich, und benutze einfach MEINEN Zufallszahlengenerator:

    2,4,3,6,1,2,2

    Habe ich gerade gewürfelt, mit einem selbstgeschnitzten Würfel der garantiert nicht von der NSA manipuliert wurde. Ich garantiere für die Zufälligkeit dieser Zahlen. :x

    [
    | Versenden | Drucken ]
1
Von u80# am Di, 10. September 2013 um 16:15 #

Die Nerds von heute sind doch selbst Schuld. Statt sich mit Freiheit zu beschäftigen, dreht sich in weiten Teilen der Community alles um Smartphones, Tablets, Gadgets und Steam als Sahnehäubchen. Geschlossene Systeme wie "Secure Boot" werden grundsätzlich begrüßt und unterstützt. Wer sich den ganzen Tag nur mit Spielzeugen beschäftigt, muss sich nicht wundern, dass er veräppelt wird. Die Alternative lautet nicht "Alu-Hut", sondern freie und offene Software auf offener Hardware. Gerade letztere ist komplett Fehlanzeige.

[
| Versenden | Drucken ]
  • 1
    Von skinnie am Di, 10. September 2013 um 16:44 #

    Und Diskutiert wird auf einer Plattform, die bekanntlich mit den Geheimdiensten zusammenarbeitet und als größte Datenkrake gilt: Google

    Hauptsache, es ist schön bequem.

    Ist wirklich davon auszugehen, dass die Binarys von Distributionen nicht mit den gelieferten Sources übereinstimmen? Bisher dachte ich immer, bei OSS würden Hintertüren schnell auffallen.

    [
    | Versenden | Drucken ]
    • 0
      Von Thomas-314 am Di, 10. September 2013 um 17:11 #


      Und Diskutiert wird auf einer Plattform, die bekanntlich mit den Geheimdiensten zusammenarbeitet und als größte Datenkrake gilt: Google
      Genau deswegen diskutiere ich NUR auf Pro-Linux, weil hier kann die NSA garantiert nicht mitlesen!

      [
      | Versenden | Drucken ]
    0
    Von Anonmous am Di, 10. September 2013 um 21:25 #

    Sind das wirklich Nerds? Ich würde die eher als Konsumvieh bezeichnen.

    [
    | Versenden | Drucken ]
    • 0
      Von blablabla am So, 15. September 2013 um 15:05 #

      Also klassische nerds beschaeftigen sich sicher nicht mit mobilem geschmeiss, vielleicht eher mit einem portalen NES oder mit alten Sun-Stations

      [
      | Versenden | Drucken ]
0
Von Agent Orange am Di, 10. September 2013 um 17:16 #

Zufallszahlen sind hier nicht das Problem, wie der Artikel schön darlegt. Auch das Problem mit den Binärdateien lässt sich lösen, entweder durch vertrauenswürdige Quellen oder besser gleich selber vom Quellcode bauen.

Aber das reicht leider nicht. Die Hardware kann vieler tiefer kompromittiert sein und auch der Quellcode ist zwar offen, aber viel zu unübersichtlich um jeden Fehler sofort zu entdecken. Deshalb können die auch absichtlich in scheinbar seriöse Patches eingebaut werden. Wenn die entdeckt werden, sagt man einfach, dass es ein unabsichtlicher Fehler war und wenn nicht, kann man die Schwachstelle ausnutzen, bis der "Bug" irgendwann gefixt wird.

[
| Versenden | Drucken ]
0
Von deranonyme am Di, 10. September 2013 um 22:15 #

Alle englischen und amerikanischen Distris fallen aus den vorher genannten Gründen für mich weg, ebenso alle Distris, die deren Paketquellen nutzen (wie z.B. Linux Mint mit den Ubuntu-Paketquellen).
Aus den genannten Gründen habe ich mich jetzt für Manjaro Linux entschieden - eine Distri, deren Server auf deutschem Boden steht und das eigene Paketquellen hat - auch wenn sie auf Arch aufbauen. Da fühle ich mich immer noch am sichersten - wenn auch nur relativ. Das deutsche Bundesverfassungsgericht hat auf deutschem Boden doch noch ein gravierendes Gewicht. Abgesehen davon hat man eine Rolling Release-Distri, die trotzdem einen sehr stabilen Eindruck macht.
Zuerst dachte ich an Mageia, bis ich las, dass der französische Geheimdienst vom französischen Parlament noch weniger kontrolliert wird als der NSA vom amerikanischen Parlament.
Was meint ihr dazu?
Anon Ym

Dieser Beitrag wurde 1 mal editiert. Zuletzt am 10. Sep 2013 um 22:20.
[
| Versenden | Drucken ]
  • 0
    Von .-,.-,.-,.-,-., am Di, 10. September 2013 um 22:46 #

    Das wird nur wenig nutzen. Ein Großteil der Entwicklungsarbeit wird nun einmal von US-basierten Distros wie z.B. Red Hat/Fedora und Suse/openSUSE gemacht, ein großer Teil der Entwickler lebt und arbeitet in den USA und ausgerechnet die am meisten verbreitete Linuxdistribution Ubuntu stammt aus dem britischen Kronbesitz Isle of Man.

    Manjaro Linux wird wohl auch auf dieser Entwicklungsarbeit aufbauen und wohl kaum selbst in der Lage sein, den gesamten Distributionscode auf von Dritten "versehentlich" eingebaute Hintertürchen oder versehentliche, sicherheitsrelevante Programmierfehler hin abzuklopfen.

    Hinzu kommen noch unter Umständen kompromittierte Hardwarechips, z.B. zur Laufzeit geladene Firmware aus diesen Hardware-Chips, unfreie BIOSe, unfreier CPU-Microcode, unfreie Firmware in Software, so wie man diese unter Linux für 2D-und 3D-Grafikfunktionen benötigt sowie die bekannten Firmware-Blobs der unfreien Radeon- und Nvidia-Treiber, welche die meisten Linuxnutzer auch einsetzen.

    Du siehst, zumindest theoretisch gibt es genügend Wege, auch Manjaro Linux zu kompromittieren, ohne dass die Distributionsentwickler das auch nur mitbekommen. Gerade die Hardwareebene entzieht sich komplett einer Überprüfung durch Softwareentwickler und Nutzer, auch unter Linux.

    [
    | Versenden | Drucken ]
0
Von GERHARDQ am Mi, 11. September 2013 um 08:46 #

Die einfachste Möglichkeit, sich der Ausspähung zu entziehen - den Computer vom Netz trennen.

[
| Versenden | Drucken ]
  • 0
    Von Realist am Mi, 11. September 2013 um 09:33 #

    und das Handy ausschalten, und die EC-Karte wegwerfen, keinen Urlaub mehr, und auf die Lohnabrechnung verzichten, und keine Ratenkäufe mehr, und keine Stromrechnung, und nie mehr Steuererklärungen, und (nur??) öffentliche Plätze unter "freiem" Himmel meiden (Kameras/Satelliten) etc pp pp pp pp... :(

    [
    | Versenden | Drucken ]
    • 0
      Von siyman am Mi, 11. September 2013 um 21:22 #

      Oder aber einfach mal die Bürgerrechte als letztes noch verbliebenes Mittel nutzen. Wenn mir meine Eltern/Schwiegerelten oder sonstwer aus eben jener Generation erzählen, dass die Internetpolitik keine Regierungspolitik sei, könnte ich kotzen und ausrasten zugleich, da jene Damen und Herren schlicht nicht begreifen, was "das Internet" für unsere Zukunft bedeutet. Was also tun? Politik selbst gestalten oder zumindest so wählen, wie es sinnvoll und nachhaltig ist. Da mag die Energiewende wichtig sein, wie sie will - wenn ich meine Grundrechte aberkannt bekomme, dann kann ich auch auf grüne Energie scheißen.

      [
      | Versenden | Drucken ]
      • 0
        Von Constantin am Do, 12. September 2013 um 10:57 #

        Danke siyman, für Dein "Schlusswort" - Ich finde es gut, dass es Menschen (Politiker) gibt, die "Spielregeln" für uns austüfteln. Trotz allem leben wir in Deutschland in noch "geseitteten" Verhältnissen, denke ich - Spionage und Manipulation gab es sicherlich schon in der Steinzeit :)

        Ich will es keinesfalls herunterspielen. Ich relativiere das Thema lediglich etwas, damit meine gefühlte Hilflosigkeit nicht zu sehr an meiner gefühlten Lebensqualität nagt um Kraft zu sammeln um dann etwas dagegen zu tun, wie ich denke, dass es in meiner Macht steht, und gehe als braves Volksschaf zur Bundestagswahl :)

        [
        | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung