Handelsblatt: "Open Source wird ein ernstes Problem“

[Benedikt Geißler]

Was mir zuächst einmal auffällt, ist dass der Artikel entgegen der Überschrift 
offenbar nur zu einem kleinen Teil über „Open Source-Software“ handelt. Ich 
zitiere mal ein paar Stellen:

> „Wir ermitteln ja nicht gegen die Firma. Wir wollen Hacker aufspüren. [...]“

Das ist aber beunruhigend, wenn sie gegen Leute mit Ethik [1] vorgehen wollen. 
Die Cracker können also unbehelligt weitermachen.

> „Ich habe Angst, aber weiß nicht genau wovor.“ Denn die Bedrohungslage ist
> extrem komplex geworden. „Früher war alles auf einen Großcomputer in einem
> abgeschlossenen Raum. Heute sind die Daten rund um die Welt verteilt.“

Daten wandern nicht von allein in die „Cloud“. Deren Einsatz ist eine bewusste 
Entscheidung, man braucht sich dann auch nicht über die Gefahren zu wundern.

„there is no cloud, just other people's computers“ – man kann sich aber auch 
bewusst für eine *freie* „Cloud“-Lösung (ich denke z. B. an Owncloud) 
entscheiden und braucht sich bei korrekter Einrichtung dann keine Sorgen mehr 
machen, ob die Daten irgendwo herumschwirren. vgl. auch das User Data 
Manifesto [2].

> Wichtige Bereiche der Netzwerke werden „unsichtbar“ gemacht. Ein
> Eindringling findet dann kaum noch etwas Interessantes vor.

Das hört sich für mich ja eher nach dem Konzept „security by obscurity“ an. 
Wichtiger wäre ja einfach eine verschlüsselte Übertragung.

> Die Herausforderungen wachsen dabei überproportional. Besonders die Zunahme
> von „Open Source“-Software ist ein Problem.

Interessant, dass gerade durch die Netzwerkverschleierung die 
Herausforderungen der Aufwand höher wird was das dann mit freier Software zu 
tun haben soll…

> Durch sie wird die Erstellung von Apps schneller und preisgünstiger, aber
> „man weiß nie, wer wirklich was programmiert hat und wo Lücken sein
> könnten.“

Klingt für mich so, als wenn schlecht bezahlte Programmierer in 
„Billiglohnländern“ irgendetwas zusammenkopieren. Sind daraus nicht auch schon 
ein paar GPL-Verletzungen resultiert? Insofern ist hier bessere Kontrolle 
seitens der Firmen in der Tat erstrebenswert.

Allerdings halte ich es für schlichtweg falsch, zu sagen, man könne nicht 
wissen, wer was gecodet hat. Genau andersherum wird ein Schuh daraus: z. B. in 
[3] kann man sehr gut sehen, welche Zeilen zuletzt von wem bearbeitet wurden. 
Bei proprietärer Software hingegen kann man nicht so ohne Weiteres in 
Erfahrung bringen, von welchem Dienstleister oder sogar Programmierer welcher 
Code eingeflossen bzw. wie oben gesagt zusammengeschustert worden ist.

> Die angegriffene Software [es geht um DROWN] ist Open Source, sie steht also
> offen jedem kostenlos und frei zur Verfügung – und wird in tausenden
> Unternehmen eingesetzt .

Wenn ich das richtig sehe, ist der Kern dieses Angriffs, dass einfach das 
veraltete SSLv2 benutzt wird und dadurch die Lücke auftritt [4], [5]. Ein 
zeitgemäß konfigurierter Webserver ist demzufolge gar nicht erst davon 
betroffen (so wie bei FREAK, POODLE und Logjam wohl auch). Vor diesem 
Hintergrund verstehe ich auch nicht wirklich den Medienrummel darum, es würde 
doch auch genügen, deutlich darauf hinzuweisen, dass man seinen Web- oder 
Mailserver noch einmal auf seine Konfiguration überprüfen sollte.

> Die angegriffene Software ist Open Source, sie steht also offen jedem
> kostenlos und frei zur Verfügung – und wird in tausenden Unternehmen
> eingesetzt.

a) Handelt es sich (nach meiner Interpretation) vielmehr um eine Schwäche des 
Protokolls SSLv2 und somit nicht einer bestimmten Software, obschon einige 
Versionen von OpenSSL eine noch billigere Variante dieses Angriffs 
ermöglichen.

b) Was ist mit Windows (nur als Beispiel)? Es ist *nicht* frei, wird aber auch 
von tausenden Unternehmen eingesetzt. Ist es jetzt deswegen sicherer?

Wie man sieht, ist der oben zitierte Satz also keine sinnvolle Folgerung. 

> Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist,
> Fehler zu finden oder zu beheben.

Bei freien Softwareprojekten gibt es immerhin i. d. R. Bugtracker mit Leuten, 
die bereit sind, sich darum zu kümmern. Kann mir dagegen z. B. mal jemand 
sagen, wo der öfentliche Bugtracker von Microsoft oder Apple ist? Anfragen 
direkt per Mail könnten ja auch genauso gut ungesehen im Sande verlaufen…

> „Ich bin sicher“, so der Sicherheitschef von SAP, „dass wir große
> Unternehmen scheitern sehen werden, weil sie es versäumen, Sicherheit für
> sich als wichtiges Unterscheidungsmerkmal in ihrer Branche
> herauszuarbeiten.“

Bei Unternemen wie Antivirenherstellern, die sich ja schon nominell 
zweifelsohne „Sicherheit“ auf die Fahne geschrieben haben, sieht man das ja 
sehr gut: es gab bisher kaum einen, der nicht selber mal eine Panne hatte. Ein 
Beispiel davon ist in [6]. (Darüber hinaus ist Sicherheit ja auch kein 
käuflich erwerbbares Produkt, sondern ein Prozess, bei dem meiner Meinung nach 
freie Software unverzichtbar ist.)

Das soll erstmal genügen,
Gruß Benedikt

[1] https://www.gnu.org/philosophy/rms-hack.html
[2] https://userdatamanifesto.org/
[3] https://github.com/torvalds/linux/blame/master/kernel/audit.c
(Ich weiß, das ist Github, welches wiederum proprietär ist, aber das Prinzip 
mit der öffentlich einsehbaren Versionskontrolle sollte erkennbar sein und auf 
den "fancy" git-Services (Github, Gitlab, Gogs) ist es schöner zu sehen.
Des Weiteren halte ich den Linux-Kernel für ein besonders gutes Beispiel, da 
dort die Beiträge signiert werden, so dass nicht einfach jeder Dahergelaufene 
seinen obskuren Code abladen kann.)
[4] https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/
[5] https://drownattack.com/#faq-details
[6] http://www.spiegel.de/netzwelt/netzpolitik/kaspersky-virenjaeger-entdeckt-virus-bei-sich-selbst-a-1037898.html