News München übernimmt LiMux in den Regelbetrieb

[AntiUser]

Und genau das ist eben einfach falsch.

Aha ... und warum ? Bisher habe ich nicht gelesen außer BLINDES Vertrauen in die allmächtige OSS zu haben. Das kenne ich sonst nur von geschlossener Software. Wer also versichert mir, das der Linuxkernel BACKDOOR frei ist? Habe Ihr das alles überprüft und kannst es mir schriftlich bestätigen?

 

[westef]

Ich finde die Umstellung super. Man kann nur hoffen, dass bei einem Regierungswechsel nicht alles über den Haufen geschmissen wird und dann wieder Windows angeschafft wird.

 

[Fonce]

100% garantieren kann das niemand, aber die Wahrscheinlichkeit ist deutlich geringer aufgrund des Wegs wie Änderungen einbgebracht werden. Dazu kommt das an den Modulen in denen ein Backdoor Sinn ergeben würde nicht nur ein Entwickler mit dem Code arbeitet weshalb solche Stellen schneller auffallen würden. Wenn ein Backdoor gefunden werden würde käme noch dazu, das man hier genau nachfolziehen kann werden dies eingebracht hat. Was dann natürlich für diesen gewisse Konsequenzen nach sich ziehen würde.

 

[Zehkul]

Aha ... und warum ?

Es gibt einen „kleinen“ Unterschied zwischen man kann nach Backdoors suchen, deshalb müssen sie gut versteckt sein und der Code kann einfach generell machen, was er will, ohne irgendeine Chance, etwas dagegen zu tun.

Bisher habe ich nicht gelesen außer BLINDES Vertrauen in die allmächtige OSS zu haben.

Interessant, wo hast du das gelesen? Ich schreibe nun diesen Satz noch einmal, da du offenbar ziemliche Probleme hast, ihn zu lesen, vielleicht klappt es ja beim 3. Mal:

„Ich sage nicht, dass sie nicht andere Wege finden, aber man muss es ihnen nicht SO leicht machen. Die Haustüre tatsächlich auch zuzumachen und abzuschließen ist kein Allheilmittel gegen Einbrecher, aber ein ziemlich wichtiger erster Schritt.“

Groß genug?

 

[riDDi]

Es gibt genug Beispiele, dass in einem OSS Projekt entsprechender Code eingeschleust wurde. Ein Linux Kernel besteht aktuell aus Millionen LOCs. Wen es da 100 gibt die nicht das machen was Sie machen sollten und diese noch in einem selten Betrachtetem Bereich stecken, so wird die BACKDOOR niemals jemand merken!

Du kannst in den Kernel keinen Code einschleusen. Da musst du erst am jeweiligen Maintainer vorbei.

 

[wayne_757]

Du kannst in den Kernel keinen Code einschleusen. Da musst du erst am jeweiligen Maintainer vorbei.

Dir ist aber schon klar dass im Normalfall vorkompilierte Kernel + vorkompilierte Software verwendet wird die noch dazu über ungesicherte Verbindungen (http) Heruntergeladen werden. Da bringt es erstmal wenig wenn der Kernel ansonsten frei von Schadsoftware ist.

 

[Daaron]

Keiner kann garantieren, dass OSS frei von Backdoors ist, genau wie bei geschlossener Software.

Aber dafür muss er erst einmal an deutlich mehr Hürden (aka unabhängige Augen) vorbei, als das bei proprietärer Software der Fall ist.
Was ist besser: Tür offen lassen oder Tür wenigstens mit einem einfachen Vorhängeschloss sichern?

Wenn die NSA sich ein einsamen Entwickler bei Linux oder von MS kauft, dann ist in jedes SW ne Backdoor drin.

Genau diesen "einsamen Entwickler" gibt es z.B. im Linux Kernel nicht. Nicht einmal Linus Torvalds selbst könnte solche Dinge einschleusen, ohne dass ihm alle Maintainer den Kram um die Ohren hauen.

Bei proprietärer Software, insbesondere amerikanische, MUSS die NSA den Entwickler nicht einmal kaufen. Gemäß dem PATRIOT ACT kann die NSA einfach bei der Softwareschmiede anklopfen und befehlen, dass der Code eingefügt wird. Außerdem muss über diesen Vorgang Stillschweigen bewahrt werden. Zuwiderhandlung wäre eine Sache der "Nationalen Sicherheit", im Zweifel würde ein Whistleblower auf Nimmerwiedersehen in Guantanamo verschwinden. Keine Verhandlung, kein Anwalt, keine Presse... ab zu all den anderen "Terroristen".

Also selbst wenn die NSA an einen amerikanischen Kernel Maintainer herantreten würde, und ihn gemäß PATRIOT ACT zur Mitarbeit zwingen würde... was kratzt das einen russischen, chinesischen, finnischen, kanadischen, deutschen,... Kernelentwickler? Wenn der den Kram sieht, dann wird Alarm geschlagen.

Bisher habe ich nicht gelesen außer BLINDES Vertrauen in die allmächtige OSS zu haben.

Und von dir hört man ausschließlich: OSS kann genauso unterwandert werden, also nehmen wir gleich das, was mit Sicherheit unterwandert ist.
Du kannst deinen Allerwertesten darauf verwetten, dass Microsoft schon Megabyte-weise Spionagecode drin hat. Ich erinnere nur an http://en.wikipedia.org/wiki/NSAKEY Jegliches Microsoft'sche Dementi kann hier als irrelevant betrachtet werden. Warum? Weil sie, als "Sache der nationalen Sicherheit" nicht zugeben dürften, dass die Anschuldigungen korrekt sind.

Rückblickend auf z.B. Stuxnet zeigt sich: Die Geheimdienste, allen voran CIA, NSA und Mossad, haben keine Hemmungen, alles und jeden mit Schadsoftware und Spionagewerkzeugen zu unterwandern.

Dir ist aber schon klar dass im Normalfall vorkompilierte Kernel + vorkompilierte Software verwendet wird die noch dazu über ungesicherte Verbindungen (http) Heruntergeladen werden.

...und dazu noch ein Hash-Key zur Absicherung.

 

[kaan80]

In Zeiten der NSA ein guter Schritt, auch Russland geht den Weg der eigenen Linux Distro

 

[AntiUser]

Was ist besser: Tür offen lassen oder Tür wenigstens mit einem einfachen Vorhängeschloss sichern?

Stahltür offen lassen oder das alte Holzgerippe mit nem Schloss sichern ... hmm ...

Genau diesen "einsamen Entwickler" gibt es z.B. im Linux Kernel nicht.

Quelle oder wieder nur das schon öfter angesprochene blinde Vertrauen?

Rückblickend auf z.B. Stuxnet

Das ist ein sehr schönes Thema. Wie lässt sich denn die Sicherheit von Siemens Steuerungsystemen (SPS) verbessern? Mit OSS? Wieso hat dazu noch keiner Stellung genommen? Auch das Einschleusen über Linux währe möglich gewesen, denn der wichtigste Teil war das verändern der Steuerungen von Siemens und das ist noch schlimmerer Mist als der von MS! Was ist mit den Steuerungssystemen in Autos? Wieso gibt es dort keine breit angelegt OSS?

Denk mal drüber nach, vielleicht wirst auch du dann mal in der Realität ankommen.

was kratzt das einen russischen, chinesischen, finnischen, kanadischen, deutschen,... Kernelentwickler?

-->

Außerdem muss über diesen Vorgang Stillschweigen bewahrt werden. Zuwiderhandlung wäre eine Sache der "Nationalen Sicherheit", im Zweifel würde ein Whistleblower auf Nimmerwiedersehen in Guantanamo verschwinden. Keine Verhandlung, kein Anwalt, keine Presse... ab zu all den anderen "Terroristen".

Merkst du hoffentlich selber

Vorallem in Zeiten wo eine Backdoor so genial verpackt wird, dass man diese erst beim bitteren Ende entdeckt und solange wie harmloser Code aussieht, den die Kernelentwickler einfach durchreichen.

 

[riDDi]

Dir ist aber schon klar dass im Normalfall vorkompilierte Kernel + vorkompilierte Software verwendet wird die noch dazu über ungesicherte Verbindungen (http) Heruntergeladen werden. Da bringt es erstmal wenig wenn der Kernel ansonsten frei von Schadsoftware ist.

Pakete werden aus diesem Grund signiert. Außerdem ging es um die abstruse Behauptung, ein Angreifer könnte Schadcode im offiziellen Linux-Kernel platzieren. Wenn der Angreifer es schafft mir beliebige Daten unterzujubeln hab ich eh verloren.

 

[ChilliConCarne]

Zum Thema ganz passend:
Open-Source-Software in öffentlichen Einrichtungen – Wikipedia

Zur Diskussion über Sicherheit
OSS Watch, ein bestmöglich unabhängiger Beratungsdienst, hat da einen ganz interessanten Artikel: Is open source software insecure? An introduction to the issues
Die kommen zum Schluss, dass sich das gar nicht so eindeutig sagen lässt. Kommt auf die Anforderungen an. Sehe ich in etwa genauso.

Sehr interessant finde ich aber das Paper Open Source vs. Closed Source Software: Towards Measuring Security - Publikationsserver der Universität Regensburg (auf den PDF Link klicken). Da wird versucht, den Begriff Sicherheit in dieser Debatte von möglichst jeder 'religiösen' Anschauung und subjektiven Einschätzung zu trennen und tatsächlich in eine Metrik zu bringen.

@wayne_757: Das geht bis zum Nutzer über so viele Augen, die eine Prüfsumme darüber machen, dass das jetzt eher weniger gefährlich sein dürfte.

@AntiUser: Die Anfälligkeit in der Steuerungstechnik hängt natürlich immer davon ab, wie gut die Sicherheit der ICs ist. Hast du ja so schon geschrieben. Entscheidend ist dann bei dieser Betrachtung also noch was davor gesetzt wird. Ist dann aber reiner Softwareteil, wo man eigentlich wieder bei der grundsätzlichen Frage ankommt ob CS oder OS sicherer ist.

Was Backdoors im Kernel angeht, übertreibst du da vielleicht etwas. Nicht, dass so etwas nicht doch passieren könnte, jedoch finden da schon zahlreiche Code Reviews statt. Und es kann da auch nicht jedermann einen submit machen. Vor allem die stetigen Änderungen im Kernel zusammen mit den verschiedenen Ausführungen durch die Distributoren, machen es sehr schwer so eine Backdoor allumfassend über einen längeren Zeitraum stabil zu halten. Lange unentdeckt dürfte so eine demnach in der Regel nicht bleiben. Also die Wahrscheinlichkeit für so einen GAU ist zwar da, aber nicht in dem Maße hoch denke ich.

 

[DeoDeRant]

Backdoors in quelloffener Software, und das Risiko erwischt zu werden (da es ja offen einsehbar ist) macht keinen Sinn für Geheimdienste wenn man deutlich effektivere (OS unabhängige) Methoden hat, und bei jedem einheimischen Hersteller auf der Matte stehen kann und eine Backdoor verlangen kann. Versuch mal eine Platine ohne Microchip von irgendeinem US Unternehmen zu kaufen.

Z.B. die proprietären Bios/UEFI Implementationen, proprietäre Firmware und eingebettete OS auf diversen Mikrocontrollern, you name it. AMI (Access Methods^^) und Phoenix kontrollieren z.B. 99% des Bios/Uefi Markts. Dann noch Intel mit AMT und Management Engine die auch auf CPU's vorhanden ist wo diese Features eigentlich gar nicht aktiviert sind. Sorry aber wenn man solche Möglichkeiten hat dann wird man wohl kaum den schwersten Weg über Open Source, oder gar den Linux Kernel wählen. Es kann auch nicht jeder Hans Code zum Kernel beisteuern, die Coding-Style Vorgaben müssen erfüllt werden.

 

[Zehkul]

Stahltür offen lassen oder das alte Holzgerippe mit nem Schloss sichern ... hmm ...

Dieser Vergleich ist zwar Schwachsinnig ohne Ende (wenn Windows so eine tolle Stahltür ist, warum laufen dann so wenig Server damit?) , aber auch hier: Eine Tür kann noch so dick und unzerstörbar sein, wenn du sie sperrangelweit offen lässt, was Closed Source unter amerikanischer Kontrolle definitiv ist, nützt das ziemlich wenig.

Quelle oder wieder nur das schon öfter angesprochene blinde Vertrauen?

Weißt du irgendetwas über Kernelentwicklung, oder kennst du nicht mal die Nummer des aktuellen Releases? Ich befürchte eher letzteres.

Merkst du hoffentlich selber

Vorallem in Zeiten wo eine Backdoor so genial verpackt wird, dass man diese erst beim bitteren Ende entdeckt und solange wie harmloser Code aussieht, den die Kernelentwickler einfach durchreichen.

Du stellst das hin, als wäre das etwas alltägliches und vollkommen trivial. Das ist aber nicht der Fall. Es ist schwierig. DEUTLICH schwieriger, als einfach einem Unternehmen mit geschlossenem Sourcecode zu befehlen, eine Hintertür einzubauen. Offener Sourcecode ist eine geschlossene Haustür. Es gibt Wege dran vorbei, natürlich, und das bezweifelt auch keiner, aber mit geschlossenem Sourcecode steht deine Tür sperrangelweit offen. Wenn Open Source blindes Vertrauen ist, dann ist geschlossener Sourcecode bei einem amerikanischen Unternehmen ein YOLO Sprung von einem Hochhaus mit ans Bein gebundener Hochspannungsleitung. Vertrauen, dass etwas stimmt, mit der Möglichkeit, dass es nicht stimmt, versus das sichere Wissen, dass da verdammt noch mal Backdoors drin sind.

 

[Dystop1an]

Stahltür offen lassen oder das alte Holzgerippe mit nem Schloss sichern ... hmm ...

Closed Source(Windows) soll also die offene Stahltür sein, und Open Source(Linux) das alte Holzgerippe mit Schloss?
Passender wäre eher, Closed Source ist die Stahltür, deren Schloss nicht geschlossen ist und die Sicherheit des Systems garnicht einsehbar ist(wenn überhaupt vorhanden), OpenSource eher die verriegelte Panzerglas Tür mit einsehbarem Sicherheitssystem(und damit nachweisbar Funktionierend).

Quelle oder wieder nur das schon öfter angesprochene blinde Vertrauen?

Wieso willst du überhaupt eine Diskussion über etwas führen, was du ja offensichtlich garnicht verstehst? Wieso sollte dir hier jemand Quellen für den bekannt normalen Ablauf der Entwicklung des Linux Kernels liefern?

Was ist mit den Steuerungssystemen in Autos? Wieso gibt es dort keine breit angelegt OSS?

Na, wenn jetzt jeder mit halbwegs Grips seine Elektronik im Auto selber reparieren könnte wo kommen wir dahin? Und außerdem kann man dann ja Mängel die sich so ein Hersteller geleistet hat einsehen.

Denk mal drüber nach, vielleicht wirst auch du dann mal in der Realität ankommen.

Na das sagt ja der richtige

Vorallem in Zeiten wo eine Backdoor so genial verpackt wird, dass man diese erst beim bitteren Ende entdeckt und solange wie harmloser Code aussieht, den die Kernelentwickler einfach durchreichen.

Na sicher, alle Kernel Entwickler sind blöd, außer der vom NSA... Wie war das gleich nochmal mit deiner Aussage bezüglich der Realität?


Und ausserdem bleibt es trotzdem wie es ist: Software aus den USA muss Backdoors enthalten wenn dass NSA das so will, Open Source Software kann Backdoors enthalten.

Bei Closed Source aus den USA müssen Backdoors eingebaut werden, bei Open Source können es Backdoors in die Software schaffen, wenn keine der vorhandenen Kontrollinstanzen jenes Backdoor entdecken.

 

[dMopp]

Ach Leute...

Es ist Pupe welches OS eingesetzt wird, so lange das Ding im Netz steht. Also hört auf über Sicherheit zu diskutieren.

 

[Benni22]

Was immer gern unterschlagen wird ist, was LiMux und WollMux ersetzen. Nämlich Windows XP*, für das der Support ausläuft,eine alte MS Office-Version und vor allem einen Sack voll alter, in den unterschiedlichsten Sprachen geschriebene Makros und Skripte.
Der ganze selbst geschriebene Kram bedurfte einer gründlichen Überholung und macht auch den Großteil der Kosten aus. Jetzt hat man ein System, das viel Wartungsfreundlicher ist. Die Investition blieb in der Region und nicht in Redmond. Und obendrein ist es auch noch Open Source, sodass jeder davon profitiert.

Ich fand die ganze Aktion ja schon vorher vorbildlich, aber wenn ich deinen Kommentar jetzt lese stellt es alles ins noch bessere Licht. Jetzt werden noch mächtig Kosten gespart, vor allem wenn man bedenkt dass man Windows XP 2014 sowieso hätte ersetzen müssen und kräftig investieren müssen.

Daran könnte viele Gemeinden und Städte sich eine Scheibe von Abschneiden. Dann könnten Steuergelder effektiver genutzt werden, ohne dass man einen Nachteil wegen der Softwaremigration hätte.

 

[Zedar]

@AntiUser:

Wo du die ganze Zeit so darum bittest:

Kannst du deine Aussagen belegen? Ich lese bei dir auch nichts anderes als Spekulationen. Du kennst dich im Gegensatz zu anderen wenigstens in der Materie aus. das muss ich zugeben aber den Beleg bleibst du auch diesmal (bisher) schuldig.

@wayne_757:

So weit ich weiß ist das bei Software von, sagen wir mal, MS Standard. Du musst auch der Updateroutine vertrauen was da jetzt für Programme heruntergeladen und installiert werden. Bei Linux kann man sich wenigstens noch davon überzeugen das die Pakete von einer URL geladen werden die als offizielle Quelle gilt. Bei MS moschelt das Programm irgendwas im Hintergrund von dem der User ehrlich gesagt keine Ahnung hat was da eigentlich getrieben wird. Mit viel Mühe und Programmen wie Wireshark kann man evtl. was herausfinden.

Das spielt im Buisiness wohl keine große Rolle, aber die Sicherheitsvorkehrungen die Produkte von MS oder Closed Source getroffen werden kannst du analog auf OSS ziehen.

 

[mensch183]

Gut für München. Schlecht, daß es sich nur um eine Ausnahme handelt. Es fehlen noch immer die gesetzlichen Rahmenbedingen, um die öffentliche Verwaltung nach und nach komplett auf offene Systeme umzustellen.

Selbst München ist nicht sicher vor einer Rolle rückwärts, wie sie z.B. das Auswärtige Amt hingelegt hat, als dort die FDP das Ruder übernahm.

 

[Daaron]

Stahltür offen lassen oder das alte Holzgerippe mit nem Schloss sichern ... hmm ...

Durch eine offene Stahltür kann ich ungehindert hindurch, durch ein verschlossenes Holztor nicht.
Außerdem ist Windows, mit all seinen abermillionen Sicherheitslücken (die oftmals erst nach 4-6 Monaten gepatcht werden) eher ein offenes Holzgerippe.

Und nochmal, damit du es ENDLICH in deinen Schädel kriegst: Aufgrund der US-amerikanischen Gesetzgebung werden HErsteller von Closed Source einfach GEZWUNGEN, Hintertürchen einzubauen.
Windows ist also, um bei deinem Mythos von der Stahltür zu bleiben, eine Stahltür, für die ausländische Geheimnisse bereits den Master-Schlüssel haben.

Quelle oder wieder nur das schon öfter angesprochene blinde Vertrauen?

LIES NACH, du Opfer Microsoft'scher Indoktrination. Lies doch mal die RFC's.

...denn der wichtigste Teil war das verändern der Steuerungen von Siemens und das ist noch schlimmerer Mist als der von MS!

Wäre hier ein offenes System zur Anwendung gekommen, die Lücken wären deutlich eher aufgefallen.
Trotz allem: Stuxnet nutzte eine große Bandbreite von 0-Day - Lücken im Windows.

Was ist mit den Steuerungssystemen in Autos? Wieso gibt es dort keine breit angelegt OSS?

Weil die Industrie kein Interesse daran hat, dass es offene Standards gibt. Wenn Steuersysteme offen wären, dann müsste man seine Karre ja nicht in die Vertragswerkstatt schleppen, sondern jeder halbwegs fähige Mechaniker könnte die Elemente austauschen. Noch schlimmer: Man könnte, statt eines originalen Steuergerätes, eine quelloffene Replik verwenden.

 

[highks]

mittelfristiges Ziel sollte zumindest sein alle Gemeinden auf eine Windows+LibreOffice umzustellen. Wie alle Jahre Millionen von Steuereuros für MS Office rausgehauen werden ist einfach unglaublich....

Da schau einer an: die katholische Kirche geht mit gutem Beispiel voran: http://www.edv.bistum-wuerzburg.de/unsere-programme/libreoffice--openoffice-/