4. Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

  • A

    Code Audit schrieb:

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    Bist Du sicher ? 😉

    0
  • ?

    abc.w schrieb:

    Code Audit schrieb:

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    Bist Du sicher ? 😉

    Ja, denn wenn es beabsichtigt wäre, dann könnte man die Hersteller zu horrenden Schadensersatzforderungen gerichtlich zwingen und das will kein hersteller.

    0
  • ?

    jo und was hindert nen angestellten programmierer das zu machen? muss ja ned gleich ne verschwörung von m$ und IBM sein.reicht auch wenn einer allein ein paar buffer overfl0ws und solchen schr0tt einbaut. closed source ist gefährlich. open source ist gut.

    0
  • B

    Code Audit schrieb:

    Bei Software von großen Herstellern muß ich mir als Privatperson keine Sorgen um meinen Online Banking Account machen, denn derartige Ausleseschadroutinen würden die Hersteller niemals einbauen.

    Die großen Firmen bauen natürlich nicht absichtlich Hintertüren ein in ihre Programme, du siehst das aber trotzdem falsch. Gerade bei Quasimonopolprogrammen wie Windows, Flash, adobe reader etc. entstehen Monokulturen die sie überhaupt erst zu Angriffszielen machen. Dazu kommt dann noch, dass es gerade bei Microsoft ein riesiger Aufwand ist Patches gegen alle möglichen Hardwarekombinationen etc zu testen und dann auch auszuliefern. Das führt dazu, das ein Patch für eine bekannte Sicherheitslücke oft Monate, aber eigentlich fast immer bis zum nächsten Patch-Day (der im Zzweifelsfall einen Monat hin ist) auf sich warten lässt.

    0
  • A

    Code Audit schrieb:

    Ja, denn wenn es beabsichtigt wäre, dann könnte man die Hersteller zu horrenden Schadensersatzforderungen gerichtlich zwingen und das will kein hersteller.

    Wie war denn das bei dem einen Hersteller, dessen Software ein Rootkit installiert hatte? Es gab, glaube ich, eine Rückrufaktion? Wurden die Programmierer gefeuert? Wurde jemand zu horrenden Schadensersatzforderungen gezwungen?

    0
  • ?

    ya s0ny lässt grüßen. schön alles mit r00tk1ts zugepflastert. soviel dazu daß große hersteller ja sowas niemals machen 🙄

    0
  • R

    Code Audit schrieb:

    rüdiger schrieb:

    2. Opensource heißt nicht kostenlos. Viel OS-Software wird von Leuten entwickelt, die dafür bezahlt werden. Bei größeren Distributionen leben auch die Maintainer von ihrer Arbeit. Sie haben also auch kein Interesse daran, dass ihnen etwas peinliches passiert und auch hier wäre der Name viel präsenter.

    Wer überprüft denn den Code von Paketen im Ubuntu Universe Zweig?

    Alle Arbeit die nicht in main liegt, wird von Canonical AFAIK nicht bezahlt.
    Wer überprüft die Pakete in universe?

    Die Maintainer der Pakete in universe.

    Code Audit schrieb:

    Und noch schlimmer, wer überprüft überhaupt, ob medibuntu.org sichere Pakete liefert?

    Medibuntu liefert vorallem Closed-Source-Sachen. zB die ganzen Codecs. Die kann man natürlich nicht überprüfen. Aber das ist ja eher das Problem von Closedsource.

    Code Audit schrieb:

    [QUOTE
    3. Opensource heißt nicht, dass jeder in den Code schreiben kann. 15 jährige Scriptkiddies können nicht einfach einen Patch in den Linuxkernel packen. Das geht vorher durch die eigentlichen Entwickler/Maintainer/Verantwortlichen und für kleinere OS-Projekte ist es ohnehin äußerst selten einen großen Patch zu erhalten.

    Siehe oben.

    Der Linux Kernel steht in dieser Frage ja eh außen vor.
    Entscheident sind die kleinen Helferlein.
    Wer von euch hat z.B. mal den Code von zerofree durchgescheckt.
    Und wer von euch hat sich den Code von Geany angeschaut?[/quote]

    Auch bei Geany oder zerofree (kenne die Software nicht), wird man nicht einfach in den Sourcetree schreiben können. Eine Google suche ergibt, dass die Personen für Geany verantwortlich sind: http://www.geany.org/Main/Authors

    Wenn die sich nun alle drei entscheiden böse zu werden und kein Maintainer den bösen Code entdeckt und der böse Code auch während irgend welcher Alpha- oder Beta-phasen der Distributionen nicht gefunden wird und wirklich sonst keiner in den Code schaut, dann könnten die bösen Code auf dein System schmuggeln. Aber das ist keine Besonderheit von Opensource. Genauso könnte es auch mit Closedsource passieren nur würde da jede Kontrolle nach den Entwicklern wegfallen.

    0
  • ?

    abc.w schrieb:

    Hast Du viel Geld in "closed source" Software inverstiert...

    Nö.

    abc.w schrieb:

    NÖh schrieb:

    Und wie kommt an sowas rein, wenn doch alle so gut aufpassen?...

    Das hätte genauso gut in einem closed source Projekt passieren können. Auch wenn der Code unter vier Augen reviewed und eingecheckt wäre.

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    0
  • A

    NÖh schrieb:

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    Was soll man denn da groß beantworten 😕

    0
  • R

    @NÖh
    Es wurde ja entdeckt und entfernt. Es war eben ein Test von einem Entwickler, der eben Zugriff auf den Quellcode hatte. Genau wie es bei Closedsource auch passieren kann. Es war niemand anonymes und es wurde entdeckt.

    Hier nochmal zum mitschreiben:
    Software kann immer Schadcode enthalten. Das ist unabhängig davon, ob eine Software opensource oder closedsource ist. Der unterschied ist nur, dass bei Opensourcesoftware potentiell mehr Leute auf den Code schauen und Schadcode somit eher gefunden werden kann.

    0
  • W

    Wobei hier die Betonung klar auf 'kann' liegen sollte.

    0
  • ?

    abc.w schrieb:

    NÖh schrieb:

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    Was soll man denn da groß beantworten 😕

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    0
  • ?

    tja, mit Korrektheitsaussagen durch Ansehen der Sourcen ist das so eine Sache - schon die Aussage, ob ein Programm stets anhält oder nicht, ist durch Ansehen der Sourcen im allgemeinen Fall beweisbar unmöglich (Halteproblem).

    letztendlich wird man anderen Programmierern und Testern vertrauen müssen oder auch nicht - welche Einzelperson hätte schon die Lust, Zeit und Intelligenz, um die vielen Mio. Zeilen an Quelltext zu analysieren, deren binaries sie täglich verwendet?

    0
  • A

    NÖh schrieb:

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    Funktioniert denn die Kontrolle von Closed Source Software?

    0
  • ?

    abc.w schrieb:

    NÖh schrieb:

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    Funktioniert denn die Kontrolle von Closed Source Software?

    Funktioniert denn die Kontrolle von Open Source Software?

    0
  • A

    DummesSpiel schrieb:

    Funktioniert denn die Kontrolle von Open Source Software?

    Ich bin der Meinung, JA, besser als bei Closed Source Software.

    0
  • G

    Zumindest funktioniert dort, per definitionem, die Kontrolle durch die Nutzer besser 🤡

    0
  • H

    quelle schrieb:

    könnt ihr mal quellen zu diesen vorfällen vorlegen?!!?!?

    @Headhunter & borg

    -.-"

    Finde leider keinen direkten Bezug auf die versuchte KDE Infektion. Aber alleine die Tatsache dass es geht ist doch schon schlimm genug. Zu dem Thema:

    Compilerbugs von Ken Thompson - "wenn der Code nicht das tut, was er sagt"

    Oder was ist mit stupiden Bugs, die sich (im Nachhinein) als Sicherheitstor aufweisen. Kann man solche Bugs auch böswillig erstellen?:
    http://digitaloffense.net/tools/debian-openssl/

    Fazit: Es gibt keine Sicherheit :)`

    Edit: Noch ein schönes Beispiel: Auf dem 26C3 wurde ein 0-Day für den Messenger Pidgin veröffentlicht. Durch einen Programmbug können durch Emoticons auf entfernten Clients beliebige Programme heruntergeladen und gestartet werden. Ist sowas einfach nur ein dummer Programmierfehler, oder böswillig?

    0

  • Headhunter schrieb:

    Edit: Noch ein schönes Beispiel: Auf dem 26C3 wurde ein 0-Day für den Messenger Pidgin veröffentlicht. Durch einen Programmbug können durch Emoticons auf entfernten Clients beliebige Programme heruntergeladen und gestartet werden. Ist sowas einfach nur ein dummer Programmierfehler, oder böswillig?

    Ja, bei dem Video musste ich auch etwas schmunzeln...
    Wenn man lange genug sucht, findet man sicher bei jeder Software eine Schwachstelle die sich ausnutzen laesst.

    0
  • ?

    Headhunter schrieb:

    Oder was ist mit stupiden Bugs, die sich (im Nachhinein) als Sicherheitstor aufweisen. Kann man solche Bugs auch böswillig erstellen?:
    http://digitaloffense.net/tools/debian-openssl/

    👍

    0
Anmelden zum Antworten