Ich bin schockiert, dass es hier so viele Träumer gibt, die glauben, dass Open Source Software quasi immun gegenüber Backdoors ist.
Zitat Wikipedia:
"Version 4.1 of the Linux kernel, released in June 2015, contains over 19.5 million lines of code contributed by almost 14,000 programmers."
Ihr dürft gerne mal reviewen, es wird euch wohl in einer Lebenszeit nicht gelingen und selbst wenn, die Chance, was zu übersehen sind gigantisch. Einzelne Packages kann man sicher einem Audit unterziehen, aber den gesamten Kernel? Wird wohl nie passieren.
Es gibt unzählige Möglichkeiten um Schwachstellen einzubauen, die nur schwer auffindbar sind. Man muss ja gar nicht ein riesen Loch einpflanzen, es reicht ja schon, wenn man die Struktur etwas schwächt. Eine Crypto-Library, die durch einen kleinen "Fehler" plötzlich effektiv nur noch mit 48-Bit verschlüsselt. Eine Hashfunktion, die "falsch" implementiert wurde und jetzt häufig Collisions produziert, etc. Auf den ersten Blick funktionert alles, aber die Sicherheit ist weitgehend hinüber.
Eine gut implementierte Backdoor ist nicht/kaum von einem einfachen Bug zu unterscheiden. Und sicherheitskritische Bugs werden ja immer wieder gefunden, auch in Open Source Software.
Hier mal ein
Beispiel für einen Versuch, der glücklicherweise erkannt wurde.
Open Source Software macht es nur einfacher und wohl auch etwas wahrscheinlicher, dass kontrolliert und entdeckt wird, es ist aber irrsinnig anzunehmen, dass man auf der sicheren Seite ist. Letztendlich muss man immer Vertrauen setzen in die Entwickler, Maintainer, etc. Ich vertraue keiner staatlichen Behörde, soviel ist klar. Zur Erinnerung, hier in Europa wird fleißig nach Backdoors für Sicherheitsbehörden geschrien, der Staat mag es halt gar nicht, wenn seine Untertanen Geheimnisse haben.
