4. Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

  • ?

    borg schrieb:

    Das einzige echte Beispiel was mir dazu einfällt ist JAP (java anonymous proxy), sowas ähnlices wie TOR. Die wurden gerichtlich dazu gezwungen eine Hintertür in ihren Code einzubauen und ein automatisches Update dazu zu verteilen. Hat keine Woche gedauert bis das jemand zufällig gefunden hat 👍 .

    Quelle?

    Welches Gericht in welchem Land kann so etwas erzwingen?
    War es ein Land mit Diktatur, so meine Vermutung?

    Wenn dem so ist, dann muß ich auch davon ausgehen, daß Progrmame wie Truecrypt usw. eine Hintertür haben.

    0
  • ?

    abc.w schrieb:

    garbageman schrieb:

    Wenn man bedenkt, was man schon an einem Tag für Schaden anrichten kann, ist OpenSource eigentlich bei sowas ganz schön gefährlich.

    Aber die Gefahr ist ja auch bei "CloseSource" vorhanden.

    Ja, aber überwiegend doch nur, wenn man kleine Wald und Wiesen Software installiert.

    Wenn ich mir aber nur von den großen Firmen Software kaufe.
    Wie z.B. Windows & MS Office von Microsoft, sowie vielleicht noch Adobe Photoshop CS, dann habe ich als normaler Benutzer doch schon alles wichtige (wie OS, Textverarbeitung, Browser, Bildbearbeitungsprogramm etc.) was man so braucht und da diese Firmen einen Ruf und teure Prozesskosten zu verlieren haben, werde ich da sicher keine Schadsoftware finden, die dazu führt, mir mein Online Banking Bankkonto leerzuräumen.

    Bei diesen Firmen besteht also lediglich die Gefahr der staatlichen Unterwanderung.
    Nicht aber der Unterwandung durch kriminelle Organisatioen, wie die Mafia usw. oder etwa doch?

    0
  • ?

    maximAL schrieb:

    garbageman schrieb:

    Wenn man bedenkt, was man schon an einem Tag für Schaden anrichten kann, ist OpenSource eigentlich bei sowas ganz schön gefährlich.

    Deswegen setzt man auch keine Bleeding Edge Software auf Produktivsystemen ein, schon gar nicht wenn die auch noch sicherheitskritisch sind 😉

    Mein Desktoprechner mit dem ich Online Banking mache betrachte ich als sicherheitskritisch.

    Und was soll man da nehmen?
    OpenBSD ist vielleicht sicher, aber als Desktop OS eher ungeeignet.
    Und Debian hat uraltsoftware deren funktionalität gerade beim Desktop unzureichend ist.

    0
  • W

    NÖh schrieb:

    Und wie kommt an sowas rein, wenn doch alle so gut aufpassen?

    Headhunter schrieb:

    Im KDE Projekt gabs es mal einen Entwickler der genau das versucht hat. Er hat einen Kommentar irgendwo tief im KDE Tree vergraben in der Art "ich bin ein Virus - wenn ich böse wäre, wäre deine Platte jetzt leer" oder so.

    Wurde nach ein paar Tagen oder Wochen (also schon längerer Zeit) wieder entfernt.

    Irgendwer muss ja Änderungen einchecken können. Und einer von denen hat wohl ein derartiges Experiment gemacht. Wobei das Quatsch ist. Schadroutinen wird man wohl kaum so kenntlich machen, wenn man diese einschleust. In einem realistischen Szenario hätte es wohl Monate gedauert, bis jemand den schadhaften Code entdeckt hätte, wenn überhaupt.

    0
  • B

    Code Audit schrieb:

    Quelle?

    google einfach nach java anonymous proxy, das Internet ist voll von Diskussionen dadrüber

    Code Audit schrieb:

    Welches Gericht in welchem Land kann so etwas erzwingen?

    Das Amtsgericht Frankfurt in Deutschland.

    http://en.wikipedia.org/wiki/Java_Anon_Proxy#Privacy schrieb:

    In 2003, the German BKA[4][5] obtained a warrant to force the Dresden Mix operators to log access to a specific web address and to introduce a crime detection function in the server software making this possible

    0
  • ?

    könnt ihr mal quellen zu diesen vorfällen vorlegen?!!?!?

    @Headhunter & borg

    -.-"

    0
  • ?

    rüdiger schrieb:

    2. Opensource heißt nicht kostenlos. Viel OS-Software wird von Leuten entwickelt, die dafür bezahlt werden. Bei größeren Distributionen leben auch die Maintainer von ihrer Arbeit. Sie haben also auch kein Interesse daran, dass ihnen etwas peinliches passiert und auch hier wäre der Name viel präsenter.

    Wer überprüft denn den Code von Paketen im Ubuntu Universe Zweig?

    Alle Arbeit die nicht in main liegt, wird von Canonical AFAIK nicht bezahlt.
    Wer überprüft die Pakete in universe?

    Und noch schlimmer, wer überprüft überhaupt, ob medibuntu.org sichere Pakete liefert?
    Gerade hier könnte man doch extrem böses Zeug einbauen, denn die Pakete liegen ja eh schon als Binary vor und ob dazu auch der gleiche Quellcode benutzt wurde, wie das ebenso verfügbare Quellcodepaket, das ist doch höchst fraglich.

    [QUOTE
    3. Opensource heißt nicht, dass jeder in den Code schreiben kann. 15 jährige Scriptkiddies können nicht einfach einen Patch in den Linuxkernel packen. Das geht vorher durch die eigentlichen Entwickler/Maintainer/Verantwortlichen und für kleinere OS-Projekte ist es ohnehin äußerst selten einen großen Patch zu erhalten.
    [/QUOTE]
    Siehe oben.

    Der Linux Kernel steht in dieser Frage ja eh außen vor.
    Entscheident sind die kleinen Helferlein.
    Wer von euch hat z.B. mal den Code von zerofree durchgescheckt.
    Und wer von euch hat sich den Code von Geany angeschaut?

    0
  • ?

    wer überprüft das in closed source programmen? dsa is ne viel interessantere frage imo.

    0
  • ?

    ;fricky schrieb:

    ach ja, und dass man niemals seine kreditkartennummer u.ä. persönliche daten in ein programm eingibt, versteht sich von selbst.
    🙂

    Nö, denn den Firefox benutzt ja sicher der ein oder andere wohl.

    Firefox mag jetzt vielleicht nicht der kritische Punkt sein, aber was ist mit Plugins für Firefox oder Programme die Hintergrundprozesse starten und die Tastatureingaben mitaufzeichnen?

    0
  • ?

    findet man sofort raus. bei nem schrott closed source plugin für internet expl0der hingegen findet man das nie raus. deshalb ist closed source software generell unsicher. 👎

    so zu tun als ob dies ein problem von open source wär, ist mal wieder typisch für die mentalität dieses forums 🙄

    0
  • A

    Code Audit schrieb:

    Wenn ich mir aber nur von den großen Firmen Software kaufe.
    Wie z.B. Windows & MS Office von Microsoft, sowie vielleicht noch Adobe Photoshop CS, dann habe ich als normaler Benutzer doch schon alles wichtige (wie OS, Textverarbeitung, Browser, Bildbearbeitungsprogramm etc.) was man so braucht und da diese Firmen einen Ruf und teure Prozesskosten zu verlieren haben, werde ich da sicher keine Schadsoftware finden, die dazu führt, mir mein Online Banking Bankkonto leerzuräumen.

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    0
  • ?

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    0
  • ?

    Bei Software von großen Herstellern muß ich mir als Privatperson keine Sorgen um meinen Online Banking Account machen, denn derartige Ausleseschadroutinen würden die Hersteller niemals einbauen.

    Ganzs anders sieht es bestenfalls bei Firmenrechnern aus.
    Da kann ich mir schon vorstellen, daß die großen Hersteller Routinen einbauen, die ihnen für die Industrispionage helfen.

    0
  • A

    Code Audit schrieb:

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    Bist Du sicher ? 😉

    0
  • ?

    abc.w schrieb:

    Code Audit schrieb:

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    Bist Du sicher ? 😉

    Ja, denn wenn es beabsichtigt wäre, dann könnte man die Hersteller zu horrenden Schadensersatzforderungen gerichtlich zwingen und das will kein hersteller.

    0
  • ?

    jo und was hindert nen angestellten programmierer das zu machen? muss ja ned gleich ne verschwörung von m$ und IBM sein.reicht auch wenn einer allein ein paar buffer overfl0ws und solchen schr0tt einbaut. closed source ist gefährlich. open source ist gut.

    0
  • B

    Code Audit schrieb:

    Bei Software von großen Herstellern muß ich mir als Privatperson keine Sorgen um meinen Online Banking Account machen, denn derartige Ausleseschadroutinen würden die Hersteller niemals einbauen.

    Die großen Firmen bauen natürlich nicht absichtlich Hintertüren ein in ihre Programme, du siehst das aber trotzdem falsch. Gerade bei Quasimonopolprogrammen wie Windows, Flash, adobe reader etc. entstehen Monokulturen die sie überhaupt erst zu Angriffszielen machen. Dazu kommt dann noch, dass es gerade bei Microsoft ein riesiger Aufwand ist Patches gegen alle möglichen Hardwarekombinationen etc zu testen und dann auch auszuliefern. Das führt dazu, das ein Patch für eine bekannte Sicherheitslücke oft Monate, aber eigentlich fast immer bis zum nächsten Patch-Day (der im Zzweifelsfall einen Monat hin ist) auf sich warten lässt.

    0
  • A

    Code Audit schrieb:

    Ja, denn wenn es beabsichtigt wäre, dann könnte man die Hersteller zu horrenden Schadensersatzforderungen gerichtlich zwingen und das will kein hersteller.

    Wie war denn das bei dem einen Hersteller, dessen Software ein Rootkit installiert hatte? Es gab, glaube ich, eine Rückrufaktion? Wurden die Programmierer gefeuert? Wurde jemand zu horrenden Schadensersatzforderungen gezwungen?

    0
  • ?

    ya s0ny lässt grüßen. schön alles mit r00tk1ts zugepflastert. soviel dazu daß große hersteller ja sowas niemals machen 🙄

    0
  • R

    Code Audit schrieb:

    rüdiger schrieb:

    2. Opensource heißt nicht kostenlos. Viel OS-Software wird von Leuten entwickelt, die dafür bezahlt werden. Bei größeren Distributionen leben auch die Maintainer von ihrer Arbeit. Sie haben also auch kein Interesse daran, dass ihnen etwas peinliches passiert und auch hier wäre der Name viel präsenter.

    Wer überprüft denn den Code von Paketen im Ubuntu Universe Zweig?

    Alle Arbeit die nicht in main liegt, wird von Canonical AFAIK nicht bezahlt.
    Wer überprüft die Pakete in universe?

    Die Maintainer der Pakete in universe.

    Code Audit schrieb:

    Und noch schlimmer, wer überprüft überhaupt, ob medibuntu.org sichere Pakete liefert?

    Medibuntu liefert vorallem Closed-Source-Sachen. zB die ganzen Codecs. Die kann man natürlich nicht überprüfen. Aber das ist ja eher das Problem von Closedsource.

    Code Audit schrieb:

    [QUOTE
    3. Opensource heißt nicht, dass jeder in den Code schreiben kann. 15 jährige Scriptkiddies können nicht einfach einen Patch in den Linuxkernel packen. Das geht vorher durch die eigentlichen Entwickler/Maintainer/Verantwortlichen und für kleinere OS-Projekte ist es ohnehin äußerst selten einen großen Patch zu erhalten.

    Siehe oben.

    Der Linux Kernel steht in dieser Frage ja eh außen vor.
    Entscheident sind die kleinen Helferlein.
    Wer von euch hat z.B. mal den Code von zerofree durchgescheckt.
    Und wer von euch hat sich den Code von Geany angeschaut?[/quote]

    Auch bei Geany oder zerofree (kenne die Software nicht), wird man nicht einfach in den Sourcetree schreiben können. Eine Google suche ergibt, dass die Personen für Geany verantwortlich sind: http://www.geany.org/Main/Authors

    Wenn die sich nun alle drei entscheiden böse zu werden und kein Maintainer den bösen Code entdeckt und der böse Code auch während irgend welcher Alpha- oder Beta-phasen der Distributionen nicht gefunden wird und wirklich sonst keiner in den Code schaut, dann könnten die bösen Code auf dein System schmuggeln. Aber das ist keine Besonderheit von Opensource. Genauso könnte es auch mit Closedsource passieren nur würde da jede Kontrolle nach den Entwicklern wegfallen.

    0
Anmelden zum Antworten