Hallo, quelloffene Software hat den Vorteil, dass sie prinzipiell von vielen Experten auf Sicherheitslücken hin untersucht werden kann. Wenn aber sehr viele zum Quelltext beitragen, besteht das Risiko, dass bösartiger Code eingeschleust wird. DARPA untersucht dieses Risiko, hpts. hinsichtlich des Linux-Kernels, genauer. The US military wants to understand the most important software on Earth https://www.technologyreview.com/2022/07/14/1055894/us-military-sofware-linux-kernel-open-source/ "...For example, Huawei is currently the biggest contributor to the Linux kernel. Another contributor works for Positive Technologies, a Russian cybersecurity firm..."
and a third bad player could be found by us here in der USA... ;-)
Alexander S. schrieb: > Hallo, > > quelloffene Software hat den Vorteil, dass sie prinzipiell von vielen > Experten auf Sicherheitslücken hin untersucht werden kann. Wenn aber > sehr viele zum Quelltext beitragen, besteht das Risiko, dass bösartiger > Code eingeschleust wird. DARPA untersucht dieses Risiko, hpts. > hinsichtlich des Linux-Kernels, genauer. > > The US military wants to understand the most important software on > Earth > Well, good luck, guys 😉👍. As long as it’s open source checking the source shouldn’t be a biggie however understanding is a wee bit different, isn’t it. And as long as everybody (including countries, b.t.w) is able to modify the source who will keep the good guys from the other side of the Atlantic from modifying the software to fit their needs 😂😂😂
And to be clear - that’s not only a one way affair, isn’t it 😂
Them amateur english goes me on the biscuit so much.
Thats not good. I break together. I think i spider! :(
such a childrengarden ;-)
The most important software on Earth is the human brain installed by the mice to find the question for the answer.
Heiner (Gast) >And as long as everybody (including countries, b.t.w) is able to modify >the source who will keep the good guys from the other side of the >Atlantic from modifying the software to fit their needs 😂😂😂 Das ist der größte Irrtum mancher Open-Source Apologeten: Es ist niemals möglich, eine Software auf vollständige Sicherheit zu prüfen, auch wenn man den Code einsehen kann. Wenn ein Staat ein genügend großes IT-Wissenschaftler Team hinsetzt, die über mehrere Umwege Hintertüren verstecken wollen, werden sie es immer schaffen. Oder woher meinst du wohl kommen die großen Softwarebugs, die alle paar Monate in den Security Nachrichten entdeckt werden? Achim M. (minifloat) >Alexander S. schrieb: >> he US military wants to >... sneak in a killswitch ? Been there, Done that. => Intel Managment Engine https://de.wikipedia.org/wiki/Intel_Active_Management_Technology
Friedhelm schrieb: > Es ist niemals möglich, eine Software auf vollständige Sicherheit zu > prüfen, auch wenn man den Code einsehen kann. Das stimmt, die Lage ist aber trotzdem deutlich besser, wenn der Kernel und deren Update-Pakete quasi öffentliche Wege gehen. Bei Microsoft musst du darauf vertrauen, dass deren "KB1337" Update-Paket nicht mal eben eine Hintertür rein patcht. Bei Linux kannst du vom Quelltext über Changelog usw. alles einsehen und nachvollziehen. Klar, der übliche Anwender macht das nicht. Bei dem muss man froh sein, wenn der überhaupt Updates installiert. Im Sicherheits-kritischen Umfeld werden diese Pakete aber sehr wohl überprüft. Bei Open Source ist einfach die Chance größer, dass es auffällt wenn da etwas schief läuft.
Andre schrieb: > Das stimmt, die Lage ist aber trotzdem deutlich besser, wenn der Kernel > und deren Update-Pakete quasi öffentliche Wege gehen. Wobei der im Text verlinkte Fall "... For example, hackers have quietly inserted malicious code into open-source projects numerous times in recent years." zeigt, dass das manchmal schwierig ist. In dem konkreten Fall war der "open source code" wohl selber verschlüsselt". Widely used open source software contained bitcoin-stealing backdoor https://arstechnica.com/information-technology/2018/11/hacker-backdoors-widely-used-open-source-software-to-steal-bitcoin/ "... The malicious code was also hard to spot because the flatmap-stream module was encrypted."
Vor einigen Tagen war ich auf einem Vortrag, wie diese Untersuchung des Quellcodes mit KI-Unterstützung ergänzt werden soll. Andre schrieb: > Bei Linux kannst du vom Quelltext über Changelog usw. alles einsehen und > nachvollziehen. Das setzt aber auch voraus, dass auch dem cpp-Kompiler vertraut werden kann. Die darunter liegenden Assembler-Module, bzw. Maschinensprachen-Module, düfte es ganz dünne werden, wer diese kritisch einsieht.
Friedhelm schrieb: > Heiner (Gast) >>And as long as everybody (including countries, b.t.w) is able to modify >>the source who will keep the good guys from the other side of the >>Atlantic from modifying the software to fit their needs 😂😂😂 > > Das ist der größte Irrtum mancher Open-Source Apologeten: > Es ist niemals möglich, eine Software auf vollständige Sicherheit zu > prüfen, auch wenn man den Code einsehen kann. Guy, you didn’t read my comment properly and you didn’t understand my comment at all - I never stated that somebody’s able to check the code completely regarding back doors etc. Just read it again 😉
Heiner schrieb: > who will keep the good guys from the other side of the Atlantic from > modifying the software to fit their needs Die machen das ja nicht für uns oder dich, sondern für sich. Wenn Du Sicherheit möchtes, musst Du selber aktiv werden oder anderen vertrauen.
Hinsichtlich Sicherheit ist der Vorzug von Open Source eher theoretischer Natur, wie ihr ja schon ausführtet. Wer in O.S. Hintertüren einbauen will, muss sich nur etwas mehr anstrengen. Deutlich praktischer ist er, wenn man unbedingt einen Fehler beheben, oder an eigene Ansprüche anpassen muss. Das kann man ggf dann selbst durchführen. BTDT
:
Bearbeitet durch User
A. S. schrieb: > Heiner schrieb: >> who will keep the good guys from the other side of the Atlantic from >> modifying the software to fit their needs > > Die machen das ja nicht für uns oder dich, sondern für sich. > > Wenn Du Sicherheit möchtes, musst Du selber aktiv werden oder anderen > vertrauen. You also didn’t get the meaning of my comment: „…modifying the software to fit THEIR needs“ -> now whose needs?
1. Sorry, wenn Ihr nun jede der 25 Millionen Codezeilen prüfen möchtet, seid Ihr bis zur Rente oder bis zum nächsten Update noch nicht ganz fertig! 2. KI ist auch nicht schlauer als ihr Programmierer. https://www.heise.de/newsticker/meldung/Zahlen-bitte-Linux-mehr-als-25-Millionen-Zeilen-Code-3845637.html
(prx) A. K. schrieb: > Hinsichtlich Sicherheit ist der Vorzug von Open Source eher > theoretischer Natur, wie ihr ja schon ausführtet. Wer in O.S. > Hintertüren einbauen will, muss sich nur etwas mehr anstrengen. Ich denk eher es geht um das Abgreifen von Daten. Da ist OpenSource m.E. auch recht anfällig dafür. Die Uhrzeit von einem Gugel-Server abfragen, den Internet-Vorhanden-Test usw. Die Amis wollen halt, dass das dann bei Gugel, Amazun, Cloudflär usw. bleibt, wo sie dann Zugriff auf die Daten haben und nicht stattdessen an Yandex und Baidu.
Alexander S. schrieb: > Wenn aber > sehr viele zum Quelltext beitragen, besteht das Risiko, dass bösartiger > Code eingeschleust wird. Hat man doch vor einiger Zeit bei Linux gemacht. Irgendwelche "Forscher" von einer Uni haben absichtlich Fehler in den Code eingeschleust. Zu Forschungszwecken ;-) Ja, das funktioniert. Alexander S. schrieb: > quelloffene Software hat den Vorteil, dass sie prinzipiell von vielen > Experten auf Sicherheitslücken hin untersucht werden kann Die Praxis zeigt, dass das ein Märchen ist. Viele benutzen OpenSSL, aber die (ein paar) Entwickler hatten keine Ressourcen und keine Zeit um Heartbleed-Problem zu vermeiden / zu entdecken.
schrieb im Beitrag #7129269:
> Yandex und Baidu
Wenn z.B. die Suchwörter transparent weitergeleitet werden, könnten sie
schön abgreifen und sparen sich viel Arbeit und Rechenleistung?
Einen Schraubenschlüssel kann man gut kontrollieren, ob er in Ordnung
ist, bei SW im Netz ist es "etwas" mühsamer.
Onewallfree. I can afterfullpull this.
(prx) A. K. schrieb: > Hinsichtlich Sicherheit ist der Vorzug von Open Source eher > theoretischer Natur, wie ihr ja schon ausführtet. In der Realität wird OSS allerdings auch unabhängigen Security Audits unterzogen, auf diese Weise wurde beispielsweise Heartbleed entdeckt. Das beweist, daß die Vorzüge nicht nur theoretische, sondern durchaus auch ganz praktische sind. > Wer in O.S. > Hintertüren einbauen will, muss sich nur etwas mehr anstrengen. Die Entdeckungswahrscheinlichkeit ist nicht nur theoretisch höher, siehe oben.
Ein T. schrieb: > In der Realität wird OSS allerdings auch unabhängigen Security Audits > unterzogen Wobei es auch bei nicht-offener Software unabhängige Audits gibt.
oszi40 schrieb: > 1. Sorry, wenn Ihr nun jede der 25 Millionen Codezeilen prüfen möchtet, > seid Ihr bis zur Rente oder bis zum nächsten Update noch nicht ganz > fertig! Muß ja nicht einer ganz alleine jede einzelne Zeile prüfen... > 2. KI ist auch nicht schlauer als ihr Programmierer. In manchen Bereichen schon.
oszi40 schrieb: > 2. KI ist auch nicht schlauer als ihr Programmierer. Lernfähige Systeme können sehr wohl schlauer als ihr Schöpfer werden.
(prx) A. K. schrieb: > Ein T. schrieb: >> In der Realität wird OSS allerdings auch unabhängigen Security Audits >> unterzogen > > Wobei es auch bei nicht-offener Software unabhängige Audits gibt. Aber wesentlich seltener und nur durch wenige, explizit ausgewählte Auditoren, die allesamt strikte NDAs unterschreiben müssen...
Friedhelm schrieb: >>Alexander S. schrieb: >>> he US military wants to >>... sneak in a killswitch ? > > Been there, > Done that. > > => Intel Managment Engine > https://de.wikipedia.org/wiki/Intel_Active_Management_Technology Warum so weit weg? SE Linux!
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.