Hi,

Wenn man die übliche Closed-Source-Software verwendet, muss man dem Entwickler hundertprozentiges Vertrauen schenken.

(Nein, eigentlich erstmal 0 Vertrauen, das dann erst aufgebaut wird. Aber ich zähle Erbsen, ist nicht wirklich wichtig)

Dieses Vertrauen kann sich dadurch aufbauen, dass man andere Meinungen über die Software liest von offensichtlich fachkundigen Menschen, die das Programm getestet und für gut befunden haben. Irgendwem muss man letztlich reichlich blind vertrauen, jeweils weil ihm andere vertrauen und so weiter und so fort. Ein Vertrauensnetzwerk.

Ja, anders geht es bei Closed-Source eben nicht. Ich würde mir vielleicht zutrauen eine Mini-RISK-Programm anhand eines schlichten Hexdumps zu analysieren, aber sobald es größere CISC-Programme sind, mit hunderten von verschiedenen OP-Codes und verzwickten Jumps würde auch ein Assemblerdump wenig helfen. Es wäre schon die schiere Masse, die eine Analyse viel zu teuer werden ließe.
Ein gewisses Maß an völlig blindem Vertrauen wird hier vorausgesetzt.

Exakt dasselbe gilt nun auch für Open-Source-Software.

Nein, warum denn? Die Quellen sind öffentlich, jeder ist in der Lage sie zu kontrollieren. (Mal abgesehen von "Obfuscated-$LANGUAGE-Contests" ;-)
Es ist absolut kein Vertrauen notwendig.

Nochmal kurz und auf den Punkt:
Closed-Source kann ich _nicht_ kontrollieren, ich _muß_ dem Ersteller vertrauen.
Open-Source _kann_ ich kontrollieren, ich muß dem Ersteller _nicht_ vertrauen.

Wie war das doch gleich:"Vertrauen ist gut, Kontrolle ist besser!"?

Den Unterschied sehe ich erst darin, dass man für gewöhnlich glaubt, denjenigen Autoren einen Vertrauensbonus geben zu können, die bewusst im regen Austausch mit der OSS-Szene und mit Anwendern stehen und bei denen andere Programmierer/Firmen/Organisationen mit Rang und Namen bei der Entwicklung mitwirken. Dazu muss man davon ausgehen, dass auch die versteckteste Codezeile von einer neutralen Instanz abgeklopft und einer Prüfung unterzogen wurde. Auf was fußt da das Vertrauen letztlich, das man diesen entgegenbringt?

Auf der Möglichkeit, das man es im Notfall selber kontrollieren - _nach_kontrollieren kann?
Auf Öffentlichkeit? Warum sind Gerichtsverfahren in der Regel öffentlich? Genau: damit man kontrollieren kann, das auch ja kein Richter Unsinn macht. Dafür müssen aber keine Volljuristen im Publikum sitzen. Es besteht jedoch die Möglichkeit welche hinzuschicken, oder gar selber die Juristerei zu erlernen. Der Richter _muß_ sogar davon ausgehen, das Volljuristen im Publikum sitzen.

"[...] sed quis custodiet ipsos custodes?" [Juvenal, Satirae VI]

Gelöst wurde das Problem dann mit Kastraten. Vollständig unabhängige Beobachter sind für alles andere noch schwieriger zu finden. Aber dafür gäbe es dann wieder die Statistik.

Bei den sicherheitskritischen Projekten von namhaften Entwicklergruppen, die weltweit bekannt sind, schließt man das Vertrauen natürlich daraus, dass ausnahmslos jeder positiv über die Qualität spricht und einem niemals Meldungen über absichtlich schadhaften Code in der Software zu Ohren gekommen sind.

Ja, bei so großen Gruppen kann man ohne große Sorgen Binaries ziehen.
Kann man das wirklich? Nein, denn die Größe spielt auch hier keine Rolle, genauso wie das Vertrauen keine Rolle spielt. Einzig und alleine die Möglichkeit der Kontrolle zieht hier.

Wenn es sich um ein kleineres Projekt handelt, nicht einmal ein völlig unbekanntes, dann gibt es vielleicht zwei bis drei Hauptentwickler und ein dutzend Mitarbeiter, die an der Peripherie herumbasteln. Ein gewöhnlicher Benutzer hat keinen Einblick in die Abläufe und kann im Grunde nicht beurteilen, ob dort ordentliche Code Review abläuft.

Da jeder den entstehenden Code einsehen kann interessiert das nicht die Bohne, welche internen Kämpfe ablaufen.

Letztlich muss man sich darauf verlassen, dass alles seine Richtigkeit hat, dass überall gewissenhafte Menschen arbeiten, die von gewissenhaften Menschen kontrolliert werden, dass wie du sagst keine riesigen Verschwörungen existieren. Und dass die Gruppenprozesse, die bei Unregelmäßigkeiten sofort entsprechende Lauffeuer entfachen, tadellos funktionieren.

Nein, man muß sich bei OpenSource auf rein gar nichts verlassen, da man einfach kontrollieren kann.

Bei den vielen kleinen nützlichen (Open-Source-)Programmen von Unbekannten, die du ansprichst, bin ich mir aber sicher, dass große Codeteile nie von Dritten geprüft wurden.

Es spielt für die Sicherheit keine Rolle, ob die Möglichkeit zur Kontrolle auch ausgeübt wurde. Denn: wird es gebraucht, kann nachkontrolliert werden.

Schon gar nicht in einem Maße, dass man davon vertrauenswürdige Spuren im Netz findet. Schon gar nicht von ihrerseits nachweisbar vertrauenswürdigen Menschen. Es ergibt sich insgesamt nichts bzw. nichts Handfestes, woraus sich ein Netzwerk des Vertrauens aufbauen könnte.

Wozu auch, denn so ein Netz wird ausschließlich für Closed-Source benötigt. OpenSource kann jeder kontrollieren, Vertrauensvorschuß ist erst gar nicht nötig.

Wie hat Microsoft eigentlich vertrauen aufgebaut? An der hohen Qualität der Software kann's ja kaum liegen, denn sie sind allgemein für das Gegenteil bekannt. Worauf basiert also hier das Vertrauen?

Trotzdem führe ich diese Programme mit Rechten aus, mit denen sie die Benutzerdaten löschen oder sensible Daten, Spam und Viren versenden könnten, den Rechner zum Zombie für DDoS-Attacken missbrauchen könnten usw. usf. Dazu braucht nicht einmal viel Code im Programm selbst angelegt sein, vielleicht nur eine unscheinbare Lücke, die das nachträgliche Einschleusen von beliebigem Code zulässt.

Ja, und warum hast Du sie nicht erkannt? Die Möglichkeit dazu war ja gegeben, da die Quellen offenliegen. Wenn Du sie nicht nutzt ist das Deine eigene Entscheidung und nicht dem Prinzip anzulasten.

Nun, das ist ja alles schön und gut, aber lästig und teilweise auch unmöglich, da es viele Programme gibt für die es auch mit sehr viel Geld und guten Worten keine Quellen gibt. (...) Kann eine Trennlinie gezogen werden und wenn ja wo? Ja, es kann und sie sollte da gezogen werden, wo das Programm das Sicherheitsmaß beeinflussen kann. Diese Trennung ist aber leider alles andere als scharf, zumindest eine Art Threshhold wäre begrüßenswert.

Ich sehe da leider überhaupt keine Trennbarkeit.

Ja, rein theoretisch hast Du natürlich recht, da müßte man bis zur Hardware runtergehen (Und das wird auch getan. Die meisten Regierungen basteln sich ihre Verschlüsselungsapparaturen selber), aber schon aus rein pragmatischen Gründen ist irgendwo eine Trennung zu vollziehen. Diese kann selbstverständlich dann auch nur rein willkürlich sein. Man kann wohl die meisten Risiken abschätzen und etwas Statistik betreiben, aber im Grunde genommen ist die Grenze wirklich nur rein willkürlich zu setzen.

Wenn man die Frage des Vertrauens allgemein betrachtet, so wäre Jörgs Software der allerletzte Punkt, an dem man sich um Sicherheit und Privatsphäre bemühen würde.

Warum sollte das der Letzte sein, warum nicht der Erste?
Ich habe es nicht probiert, aber wahrscheinlich würde ich das Dingen unter Wine an's Laufen bekommen. Dann ist außer dem Programm alles andere OpenSource (Ich habe sogar eine Maschine da stimmt das wirklich, da ist sogar das BIOS OpenSource ;-).

Wenn man einen riesigen Haufen (Closed-Source-)Software auf dem Rechner hat, die größtenteils vollen Zugriff auf alle Ressourcen und damit auf die Benutzerdaten hat, kann man nicht plötzlich bei einem (weiteren) kleinen Programm eines Hobby-Programmierers die große Panik bekommen und offene Quellen fordern.

Und warum nicht? Ich tue es.
(Nein, nicht die Sache mit dem Panik bekommen ;-)
Aber auch nur unter bestimmten Voraussetzungen, speziell nach Datenlage. Sind es sehr sensible Daten ist die Software ausschließlich aus den Quellen zu bauen, nach Möglichkeit auf altbekannter Hardware. Es sollte auch nach Möglichkeit ein quelloffenes BIOS drin sein. Wenn aber die einzige Daten der aktuelle Spielstand von Quake ist, kein Netz, kein doppelter Boden: dann ist es völlig egal.
Da es immer irgendwo dazwischen liegt, ist es eine Frage des "Preises". Was ist man gewillt an Zeit, Aufwand und evt noch Geld reinzustecken. Lohnen das die zu schützenden Daten?

Gerade bei diesen würden die genannten Vorteile der vollständigen Quelloffenheit (d.h. nicht nur »Quellcode auf Anfrage und Mitwirkung erwünscht«) am wenigsten zum Tragen kommen. Hätte man solche Ängste, müsste der Normalbenutzer an jede Software, die diese Rechte hat, dieselben Anforderungen der Zuverlässigkeit und Vertrauenswürdigkeit stellen, nicht nur an solche, die das »Sicherheitsmaß beeinflussen« nach deiner Definition.

Auch die von Dir beschriebene Software würde unter meine, mit voller Absicht weit gefaßte Definition fallen, deshalb gilt auch dafür selbstverständlich das Gleiche.

Ich weiß zwar das ich mich hier wiederhole, aber ich sage es gerne noch einmal:
Ich bin kein Mitglied der OpenSource-Gemeinde. Ich komme zwar ein wenig daher und kann die Ziele nachvollziehen, aber ich nutze immer das zu meinem Zweck und meinen Mitteln passende Werkzeug. Da ich im Bereich IT-Sicherheit meine Brötchen verdiene, ist das nunmal meistens quelloffene Soft- teilweise sogar Hardware. Einige geschlossene Software sowie fast nur geschlossene Hardware ist aber auch in Betrieb. Ohne schlechtes Gewissen, das war nunmal das passende Werkzeug.

so short

Christoph Zurnieden