TS: Rubicon und SSH

Hello,

gerade habe ich nochmal zum xten Mal den Bericht über Rubicon auf Phönix gesehen.

Da kommt bei mir jedes Mal die Frage wieder hoch, wie sicher eigentlich SSH heute noch/wieder ist? Bekanntermaßen gab es da ja auch mal einen "Infekt".

Wer weiß mehr?

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.

akzeptierte Antworten

  1. Der Unterschied zwischen der Crypto-AG und FOSS-Software (open-ssh) ist im Kern folgender:

    Bei der Crypto-AG wurden proprietäre Methoden für die „Verschlüsselung“ eingesetzt. Der Kunde konnte diese nicht nachvollziehen und kontrollieren.

    Zumindest open-ssh, tls und viele darauf basierender Anwendungen sind Quelltext-offen:

    a) deshalb und b) wegen deren Bedeutung

    kann man davon ausgehen, dass dieses „Nachvollziehen und und überprüfen“ regelmäßig durch Personen, die was davon verstehen, im eigenen Interesse stattfindet.

    Wahr ist allerdings auch, dass Geheimdienste immer wieder versuchen, Einfluss auf die Standardisierungsgremien zu nehmen (ich erinnere mal an „geschwindigkeitsoptimierte“ und deshalb für brute-force und Wörterbuchangriffe vergleichbar anfällige „Digest“ SHA1).

    Das kam ziemlich schnell auf den Tisch.

    1. Hello,

      naja, die SSH-Lücke in bestimmten Systemen hat meiner Erinnerung nach ziemlich lange bestanden. Ich bekomme das jetzt leider nicht mehr zusammen. Deshalb hatte ich gefragt.

      Erinnert sich da noch jemand an die Zusammenhänge?

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. naja, die SSH-Lücke in bestimmten Systemen hat meiner Erinnerung nach ziemlich lange bestanden. Ich bekomme das jetzt leider nicht mehr zusammen. Deshalb hatte ich gefragt.

        Erinnert sich da noch jemand an die Zusammenhänge?

        Sicherlich meinst Du „Heartbleed“.

        Wikipedia: https://de.wikipedia.org/wiki/Heartbleed

        Das ändert aber gar nichts an der Aussage, dass FOSS-Software im Gegensatz zu geheimer Software/geheimen Methoden wie im Falle Rubikon/Crypto AG überprüfbar ist.

        1. Hello,

          naja, die SSH-Lücke in bestimmten Systemen hat meiner Erinnerung nach ziemlich lange bestanden. Ich bekomme das jetzt leider nicht mehr zusammen. Deshalb hatte ich gefragt.

          Erinnert sich da noch jemand an die Zusammenhänge?

          Sicherlich meinst Du „Heartbleed“.

          Wikipedia: https://de.wikipedia.org/wiki/Heartbleed

          Danke. Nun kommt die Erinnerung zurück ;-)

          Das ändert aber gar nichts an der Aussage, dass FOSS-Software im Gegensatz zu geheimer Software/geheimen Methoden wie im Falle Rubikon/Crypto AG überprüfbar ist.

          Es muss nur auch jemand merken, beweisen können und die Macht/Kenntnisse haben, es in passenden Kreisen breit zu publizieren.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. die Macht/Kenntnisse haben, es in passenden Kreisen breit zu publizieren

            Die europäische Kommission hat ein Programm dafür aufgelegt. Ist die mächtig genug?

            1. Hello,

              die Macht/Kenntnisse haben, es in passenden Kreisen breit zu publizieren

              Die europäische Kommission hat ein Programm dafür aufgelegt. Ist die mächtig genug?

              Einmal Paranoia zu Recht gehabt, immer paranoid.
              So würde ich meinen Sichtwinkel dazu beschreiben :-O

              Ich suche erstmal nach Transparenzberichten, also wann die was entdeckt haben, wo sie es wann veröffentlicht haben, usw. Und ob und wie man eigene Hinweise in Verdachtsfällen geben könnte und wie die behandelt werden.

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.
              1. Ich suche erstmal nach Transparenzberichten,

                Versuch der Hilfestellung:

                Ich hab den Link zum EU-FOSSA-2 Programm der Europäischen Kommission irgendwie vom sehr(!) lesenswertem Artikel

                aus gefunden. Dort, wo er war, stand ein wenig mehr dazu

                Übrigens ist kein einziges der „gelochten“ Programme open source.

                1. Hello,

                  da werde ich lesen und im Administrators Journal.

                  Übrigens ist kein einziges der „gelochten“ Programme open source.

                  Das ist allerdings interessant.
                  Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.

                  Glück Auf
                  Tom vom Berg

                  --
                  Es gibt nichts Gutes, außer man tut es!
                  Das Leben selbst ist der Sinn.
                  1. Hallo

                    da werde ich lesen und im Administrators Journal.

                    Übrigens ist kein einziges der „gelochten“ Programme open source.

                    Das ist allerdings interessant.
                    Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.

                    Welchen Umkehrschluss meinst du? Den, dass Open Source Software (OSS) fehlerfrei wäre, weil der Quellcode offen liegt?

                    Diese Argumentation sehe ich regelmäßig nur bei denen, denen OSS ein Dorn im Auge ist (Ausnahme bestätigen die Regel). So ziemlich jedem, der programmiert, ist klar, dass dabei Fehler passieren, auch solche, die ewig und drei Tage unentdeckt bleiben. Das ist voll und ganz unabhängig davon, ob die Software OSS oder Closed Source Software (CSS) ist.

                    Der unbestreitbare Vorteil von OSS gegenüber CSS ist, dass die Software von jedem™️ geprüft werden kann. Wir wissen, dass das nicht jeder kann und will [1]. Wir wissen, dass auch dabei Fehler gemacht werden und dass vorhandene Bugs übersehen werden. Wir wissen schließlich auch, dass es oft lange dauert, bis jemand ein Programm prüft. Oft halt auch mehrere Jahre. Aber im Gegensatz zu CSS ist es zumindest möglich. Dort geht halt nur, was der Hersteller erlaubt [2].

                    Bis auf wenige, mit religiösem Eifer „gesegnete“ Adepten wird aber niemand aus dem OSS-Bereich behaupten, OSS wäre deshalb, weil sie OSS ist, per se fehlerfrei. Das ist Quatsch.

                    Tschö, Auge

                    --
                    Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                    Hohle Köpfe von Terry Pratchett

                    1. fehlende Fachkenntnisse, Angst vor der Hürde des komplexen Themas Programmierung ↩︎

                    2. keine Überprüfung, Teilüberprüfung, ausschließlich Überprüfung bestimmter Aspekte der Software ↩︎

                    1. Hallo,

                      So ziemlich jedem, der programmiert, ist klar, dass dabei Fehler passieren, auch solche, die ewig und drei Tage unentdeckt bleiben. Das ist voll und ganz unabhängig davon, ob die Software OSS oder Closed Source Software (CSS) ist.

                      volle Zustimmung. Und die Grunderkenntnis, dass von Menschen entwickelte Dinge nicht vollkommen sind, ist nicht aufs Programmieren beschränkt. Wo Menschen arbeiten, werden Fehler gemacht. Kein Mensch ist vollkommen, niemand ist unfehlbar[1].

                      Der unbestreitbare Vorteil von OSS gegenüber CSS ist, dass die Software von jedem™️ geprüft werden kann. Wir wissen, dass das nicht jeder kann und will. Wir wissen, dass auch dabei Fehler gemacht werden und dass vorhandene Bugs übersehen werden.

                      Oder dass beim Versuch, einen Fehler auszubessern, zwei neue dazukommen.

                      Wir wissen schließlich auch, dass es oft lange dauert, bis jemand ein Programm prüft. Oft halt auch mehrere Jahre. Aber im Gegensatz zu CSS ist es zumindest möglich. Dort geht halt nur, was der Hersteller erlaubt.

                      Naja, es gäbe da noch Reverse Engineering, was die Hersteller meist gar nicht gern sehen (was aber in der Industrie gängige Praxis ist). Und es gibt noch die Möglichkeit, ein System als Black Box zu testen[2] und so durch Dokumentation von Eingaben und den resultierenden Ausgaben Fehlerfälle zu finden (auch wenn man sie dann nicht beheben kann).

                      Live long and pros healthy,
                       Martin

                      --
                      Ich stamme aus Ironien, einem Land am sarkastischen Ozean.

                      1. Nein, auch nicht der eine, dem diese Eigenschaft traditionell zugesprochen wird. ↩︎

                      2. So soll Linus Torvalds ja sein Linux entwickelt haben: Nur durch Studium der verfügbaren Dokumentation der Schniitstellen von Unix und zahlreichen eigenen Testfällen, um dann das beobachtete Verhalten nachzuprogrammieren. ↩︎

                    2. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

                      da werde ich lesen und im Administrators Journal.

                      Übrigens ist kein einziges der „gelochten“ Programme open source.

                      Das ist allerdings interessant.
                      Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.

                      Welchen Umkehrschluss meinst du? Den, dass Open Source Software (OSS) fehlerfrei wäre, weil der Quellcode offen liegt?

                      Zumindest werden Fehler selbst in wichtigsten Modulen (siehe SSL) oft ziemlich lange nicht entdeckt und behoben, obwohl sie Open Source sind.

                      Muss man als Außenstehender auch erstmal durchsteigen durch ein Programm eines Anderen. Und der Leidensdruck, das zu wollen, muss auch vorhanden sein.

                      Spirituelle Grüße
                      Euer Robert

                      --
                      Möge der Forumsgeist ewig leben!
                      1. Hallo

                        Übrigens ist kein einziges der „gelochten“ Programme open source.

                        Das ist allerdings interessant.
                        Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.

                        Welchen Umkehrschluss meinst du? Den, dass Open Source Software (OSS) fehlerfrei wäre, weil der Quellcode offen liegt?

                        Zumindest werden Fehler selbst in wichtigsten Modulen (siehe SSL) oft ziemlich lange nicht entdeckt und behoben, obwohl sie Open Source sind.

                        Ja, und? Das hatte ich in dem Teil, den du wegeditiert hast, schon geschrieben.

                        Wir wissen schließlich auch, dass es oft lange dauert, bis jemand ein Programm prüft. Oft halt auch mehrere Jahre.

                        Hervorhebung durch mich.

                        Tschö, Auge

                        --
                        Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                        Hohle Köpfe von Terry Pratchett
                        1. Hello,

                          Hups,
                          Posting weg

                          Mist, muss wohl erstmal mein Tablet putzen :(

                          1. Hups, Posting weg

                            Also, wenn ich (Cookiefrei und auch sonst sehr privat) mal die Eingaben in in dieses Forum durch Schließen des falschen Tabs verliere kommt bei neuen Klicken auf Antwort verfassen oder Antwort mit Zitat verfassen immer die luxoriös anmutende Frage, ob ich denn vielleicht meine vorherigen Eingaben wieder herstellen will.

                            Oft will ich...

                            1. Hello,

                              Hups, Posting weg

                              Also, wenn ich (Cookiefrei und auch sonst sehr privat) mal die Eingaben in in dieses Forum durch Schließen des falschen Tabs verliere kommt bei neuen Klicken auf Antwort verfassen oder Antwort mit Zitat verfassen immer die luxoriös anmutende Frage, ob ich denn vielleicht meine vorherigen Eingaben wieder herstellen will.

                              Oft will ich...

                              Dax hat er (@Christian Kruse) auch fein gebaut ;-)

                              Schlecht nur, wenn das Touchpad wegen Dreckspritzern gerade macht, was es will ;-(

                              Glück Auf
                              Tom vom Berg

                              --
                              Es gibt nichts Gutes, außer man tut es!
                              Das Leben selbst ist der Sinn.
                              1. Schlecht nur, wenn das Touchpad wegen Dreckspritzern gerade macht, was es will ;-(

                                Einerseits machst Du wegen dem großen C gerade einen Haufen Aufstand, aber dann:

                                1. Irgendwas anfassen.
                                2. Auf dem Touchpad herumfummeln.
                                3. Hände waschen und desinfizieren.
                                4. Auf dem Touchpad herumfummeln.
                                5. An der Nase klatzen...