News München übernimmt LiMux in den Regelbetrieb

[Fonce]

im Grunde spielt in großen Firmen der Kostenfaktor von Software und Betriebssytemen garkeine Rolle da sie eine feste Kostenstelle im Budget einnehmen ... falls ein Entscheider nicht gerade großer Linux Freund ist wird er den Weg des geringsten Widerstandes gehen und keinem fällt es auf

Grade große Firmen merken mittlerweile was sie sich durch das setzen auf Software von MS für einen Klotz ans Bein gehängt haben.
Diese sind damals schön auf Windows Server/Sharepoint umgestiegen und merken jetzt das sie sich dumm und dämlich daran zahlen und auch die Kosten für Wartung nicht geringer wurden. Außerdem kommt hier dann dazu, das es schwer ist nicht MS Lösungen zu einer 100% stabilen zusammenarbeit zu bewegen. Deshalb werden diese nach und nach wieder davon weg gehen.
Durch die Sachen mit NSA/GCHQ könnte jetzt vermutlich auch der Desktop bei solchen Überlegungen in den Vordergrund rücken. Bis solche Dinge anrollen benötigt es aber immer eine gewisse Zeit. Auch weil man jetzt erstmal schauen müsste wo man das entsprechende KnowHow herbekommt, den dummerweise hat man ja über Jahre immer nur Windows Admins eingestellt...

 

[Daaron]

Passt wunderbar zum Auftreten des neuen Papsts, auch wenn das Bistum sogar früher angefangen hat. Da kann man dem Bistum nur gratulieren, gute Entscheidung. Mehr Geld für Hilfsprojekte/Sozialarbeit.

 

[ah-chimedes]

Gute Sache! Bitte weitermachen..

 

[Fabian228]

Diese Arroganz mit welcher hier viele auftreten ist einfach unglaublich.
Wie kann man Open Source nur so in den Himmel loben ohne das man sich eingesteht dass es durchaus auch negative Seiten gibt die alles andere als irrelevant sind.

Es hat natürlich Nachteile von einem Konzern abhängig zu sein aber es hat auch seine Vorteile. Die Aussage, wenn einem bei Open Source etwas nicht passt soll man es doch umprogrammieren, ist ja so dermaßen weltfremd.

Es wurde auch schon Stuxnet angesprochen, in der gesamten Automatisierungsbranche gibt es keine Linux Alternative. Überhaupt in der gesamtem Industrie gibt es keine relevanten Hard- und Softwarekombinationen die ausschließlich auf Linux basieren.

Die Linuxuser hier reden immer vom über den Tellerrand blicken, blickt doch endlich mal über euren eigenen.

 

[Zehkul]

Wie kann man Open Source nur so in den Himmel loben ohne das man sich eingesteht dass es durchaus auch negative Seiten gibt die alles andere als irrelevant sind.

Die da wären?

Es hat natürlich Nachteile von einem Konzern abhängig zu sein aber es hat auch seine Vorteile.

Welche? Schön rumbrüllen und andere arrogant nennen ist eine Sache, aber das sollte dann doch bitte nicht so inhaltsleer sein. Open Source hat theoretisch tatsächlich den Nachteil, dass man dank offenem Sourcecode auch leichter Lücken finden kann – in der Praxis scheint closed source aber dennoch ein Stückchen schlechter abzuschneiden, wenn man sich so weltweit die Server anschaut.

Die Aussage, wenn einem bei Open Source etwas nicht passt soll man es doch umprogrammieren, ist ja so dermaßen weltfremd.

Die Aussage ist bei privater Anwendung ziemlich weltfremd, ja, aber hier geht es auch um Anwendung in einem ganz anderen Gebiet, wo man massig Geld für Lizenzen rauspfeffert und für das Geld genauso gut eigene Programmierer anheuern könnte.

Es wurde auch schon Stuxnet angesprochen, in der gesamten Automatisierungsbranche gibt es keine Linux Alternative. Überhaupt in der gesamtem Industrie gibt es keine relevanten Hard- und Softwarekombinationen die ausschließlich auf Linux basieren.

Wusste gar nicht, dass München in der Automatisierungsbranche tätig ist. Ansonsten weiß ich von diesem Anwendungsgebiet nicht wirklich etwas, aber wenn es schon immer heißt, der Umstieg auf Linux „geht nicht“, ist das meist ein hausgemachtes Problem, und wenn die ganze Branche schuld ist.

 

[DeoDeRant]

Es hat natürlich Nachteile von einem Konzern abhängig zu sein aber es hat auch seine Vorteile.

Also mir fallen da keine Vorteile ein, außer für den Hersteller von dem andere abhängig sind..

Die Aussage, wenn einem bei Open Source etwas nicht passt soll man es doch umprogrammieren, ist ja so dermaßen weltfremd.

Inwiefern? Wenn du es selbst nicht kannst, hast du immer noch die Möglichkeit andere damit zu beauftragen die es können. Bei closed source hast du diese Möglichkeiten nicht.

Es wurde auch schon Stuxnet angesprochen, in der gesamten Automatisierungsbranche gibt es keine Linux Alternative. Überhaupt in der gesamtem Industrie gibt es keine relevanten Hard- und Softwarekombinationen die ausschließlich auf Linux basieren.

Welche "Industrie" meinst du? Software um Mikrocontroller zu programmieren, egal ob AVR, oder FPGA's gibts auch für Linux. Mir ist nicht ganz klar wie du das meinst. Zeig mir bitte einen in der "Industrie" eingesetzten Mikrocontroller der nur über Windows programmierbar ist, dann könnte ich es nachvollziehen.

Und was Linux auf Mikrocontrollern selbst betrifft, Ist doch logisch wenn 8 oder 16 bittige Mikrocontroller Chips zu klein sind und kein richtiges OS drauf laufen kann. Das ändert sich erst wenn sich 32 bit dort durchsetzt. Linux auf 32bit AVR's ist möglich.

Zudem sind die Designs der Chips ja auch nicht komplett offen. Eine Behörde mit einem "Draht" zum Hersteller hat immer Möglichkeiten zu manipulieren, und exklusive Angriffsvektoren auszunutzen, oder hat schon im Vorfeld dafür gesorgt dass sie eingebaut werden, wie im fall von Stuxnet vermutlich geschehen.

Die Linuxuser hier reden immer vom über den Tellerrand blicken, blickt doch endlich mal über euren eigenen.

Das Problem der Industrie ist dass sie sich zu sehr auf Windows versteift hat, Personal oft zu unflexibel ist um etwas außer den Programmen auf das sie geschult wurden zu bedienen. Eben typisch deutsche Fachidiotie.

 

[AntiUser]

Was Backdoors im Kernel angeht, übertreibst du da vielleicht etwas. Nicht, dass so etwas nicht doch passieren könnte, jedoch finden da schon zahlreiche Code Reviews statt.

Sein wir doch mehr ehrlich, jede Sicherheitslücke mit der Möglichkeit seine Rechte auf ROOT zu erweitern ist potentiell eine BACKDOOR. Und derer gibt es weis Gott genug. Wer sagt denn, dass es eingeschleuster Code ist? Wieso nicht einfach eine Liste nicht gefixter Sicherheitslücken die ein einsamer Kerl brav der NSA übermittelt?

Natürlich ist das Sicherheitskonzept gut durchdacht bei der Entwicklung, aber ich halte es nicht für überlegen im Gegensatz zu geschlossenen Programmen.

Trotzdem ist es immer wieder nett deine Beiträge zu lesen. Einer der wenigen realistischen Aussagen hier

Na, wenn jetzt jeder mit halbwegs Grips seine Elektronik im Auto selber reparieren könnte wo kommen wir dahin? Und außerdem kann man dann ja Mängel die sich so ein Hersteller geleistet hat einsehen.

Wieso benutzen die Hersteller kein OSS Unterbau? Die Algorithmen können ja trotzdem geschlossen sein. Bestes Beispiel ist OS X. Offener Darwin Unterbau und Aqua ist zum großen Teil geschlossen.

Und ausserdem bleibt es trotzdem wie es ist: Software aus den USA muss Backdoors enthalten wenn dass NSA das so will, Open Source Software kann Backdoors enthalten.

Nicht ganz richtig. Tausche kann gegen wird Backdoors enthalten wenn die NSA es so will. Ich sehe hier kein Sicherheitsvorteil ...

Ich verstehe auch nicht ganz, warum man sich so auf den Linuxkernel versteift. Es gibt genug andere Programme und Möglichkeiten Personen abzuhören. Es gibt unzählige offene Betriebssysteme (Ubuntu, Mint, div. BSDs, ...) mit tausenden Tools die alle entsprechende Türchen enthalten können. Wobei es egal ist, ob der Code absichtlich eingeschleust wurde oder einfach "ausersehen" eine Sicherheitslücke nicht geschlossen wurde.

Durch eine offene Stahltür kann ich ungehindert hindurch, durch ein verschlossenes Holztor nicht.
Außerdem ist Windows, mit all seinen abermillionen Sicherheitslücken (die oftmals erst nach 4-6 Monaten gepatcht werden) eher ein offenes Holzgerippe.

Ich schrieb deshalb auch Holzgerippe ...:

http://www.de.xck.kh.ua/img/23/198.jpg Wahnsinnig Einbruchsicher das Haut mit Schloss ...

Wäre hier ein offenes System zur Anwendung gekommen, die Lücken wären deutlich eher aufgefallen.

Und wie willst du diese bei Industriellen Steuerungen schließen? Kleiner Tip, das Thema kann nur nach hinten los gehen für euch . Denn diese Steuerrungen sind das beste Beispiel, dass OSS nicht überall ein Vorteil bringt und schon gar nicht ein automatischen Sicherheitshub bedeutet.

Wenn Steuersysteme offen wären, dann müsste man seine Karre ja nicht in die Vertragswerkstatt schleppen, sondern jeder halbwegs fähige Mechaniker könnte die Elemente austauschen. Noch schlimmer: Man könnte, statt eines originalen Steuergerätes, eine quelloffene Replik verwenden.

Was machst du, wenn dein neues Motorsteuergerät ein von dir Fehler hat, welcher zu ungewollten Beschleunigung durch das E-Gas führt? Was bringt dir dann dein neues Steuergerät?

Ansonsten weiß ich von diesem Anwendungsgebiet nicht wirklich etwas, aber wenn es schon immer heißt, der Umstieg auf Linux „geht nicht“, ist das meist ein hausgemachtes Problem, und wenn die ganze Branche schuld ist.

Erleuchte uns mit deiner Weisheit, wie man die Situation verbessern kann, dass Siemens mit 80% Marktanteil nur geschlossene Systeme verkauft die Teilweise noch mit MS CE 5.0 oder MS CE 6.0 laufen ?

 

[DeoDeRant]

Sein wir doch mehr ehrlich, jede Sicherheitslücke mit der Möglichkeit seine Rechte auf ROOT zu erweitern ist potentiell eine BACKDOOR. Und derer gibt es weis Gott genug. Wer sagt denn, dass es eingeschleuster Code ist? Wieso nicht einfach eine Liste nicht gefixter Sicherheitslücken die ein einsamer Kerl brav der NSA übermittelt?

Die NSA wird selbst eine Taskforce haben die Software auf Sicherheitslücken abklopft. Closed source und open source, für die NSA macht das wenig Unterschied da sie so oder so an den Code kommen, z.B. über Zertifizierungsstellen usw.

Der Unterschied ist nur dass closed source Code nur von den Entwicklern der Software gefixt werden kann, open source Code jedoch von jedem. Viele Augen sehen mehr, zudem siehst du ja schon anhand des Codes und der Struktur die Qualität der Software, die eben bei closed source so nicht ersichtlich ist.

Natürlich ist das Sicherheitskonzept gut durchdacht bei der Entwicklung, aber ich halte es nicht für überlegen im Gegensatz zu geschlossenen Programmen.

Ein gewinnorientiertes Unternehmen welches proprietäre Software herstellt wird den Fokus eher auf Dinge legen die für die Konsumenten einen offensichtlichen Unterschied ausmachen = Gewinn, also nur Funktionalität und Optik, die Sicherheit kommt da oft zu kurz da es ja von den Kunden eh niemand überprüfen kann. Ein gutes Beispiel ist da Adobe.

Diese Gefahr gibts mit open source Software nicht, da jeder Nutzer die Codequalität überprüfen kann, und ggfs. eben eine Alternative wählt.

Trotzdem ist es immer wieder nett deine Beiträge zu lesen. Einer der wenigen realistischen Aussagen hier

Z.B. deine eigenen.

Wieso benutzen die Hersteller kein OSS Unterbau? Die Algorithmen können ja trotzdem geschlossen sein. Bestes Beispiel ist OS X. Offener Darwin Unterbau und Aqua ist zum großen Teil geschlossen.

Weil Apple's Kunden kaum Wert drauf legen, und optische Oberflächlichkeiten Apples Patentrezepte für den Erfolg sind. Das was bei Apple open source ist, haben sie ja selbst zum großteil woamders abgegriffen um Kosten zu sparen, bzw. um das OS überhaupt entwickeln zu können. Weshalb ist FreeBSD denn so weit hinter Linux in vielen Dingen, obwohl sie vor 10 jahren sogar die Nase vorn hatten? Weil Apple dort wildert und kaum etwas zurückgibt. Webkit ist da eher ein unfall gewesen..

Ich verstehe auch nicht ganz, warum man sich so auf den Linuxkernel versteift. Es gibt genug andere Programme und Möglichkeiten Personen abzuhören. Es gibt unzählige offene Betriebssysteme (Ubuntu, Mint, div. BSDs, ...) mit tausenden Tools die alle entsprechende Türchen enthalten können. Wobei es egal ist, ob der Code absichtlich eingeschleust wurde oder einfach "ausersehen" eine Sicherheitslücke nicht geschlossen wurde.

Diese "tausende Tools" werden und wurden auf Herz und Nieren getestet, zudem kannst du potentiellen Schadcode dadurch minimieren indem du soweit möglich auf sehr komplexe Software verzichtest und eben Alternativen nimmst die besser, klarer strukturiert sind. Das Vermeiden von objektorientiertem Code kann auch zur Sicherheit beitragen, je weniger Möglichkeiten die benutzte Programmiersprache für die gleiche Aktion bietet, desto sicherer.

Und das wichtigste, installier nur Software aus den offiziellen Repos.

Und wie willst du diese bei Industriellen Steuerungen schließen? Kleiner Tip, das Thema kann nur nach hinten los gehen für euch . Denn diese Steuerrungen sind das beste Beispiel, dass OSS nicht überall ein Vorteil bringt und schon gar nicht ein automatischen Sicherheitshub bedeutet.

Totaler Schwachsinn denn du da verzapfst. Industrielle Steuerungen bestehen meist aus einer Kombination von verschiedenen Komponenten die eh schon ab Werk mit verschlossenem Code laufen, die werden dann eben in ein Konzept eingebaut. Dort herrscht ein ähnliches Dilemma wie mit Desktop Software, bestimmte Hersteller die den Markt dominieren, weil es genug Kunden noch an Kompetenz fehlt, bzw, denen es egal ist solange es funktioniert. Ob irgendwo in der Verwaltung oder einem Betrieb, der Drang dass sich Entscheidungen sofort auszahlen (da Entscheider meist ja nur eine begrenzte Zeit im Amt sind) ist sehr groß, da wird kaum langfristig gedacht sondern nur an den nächsten Posten.

Was machst du, wenn dein neues Motorsteuergerät ein von dir Fehler hat, welcher zu ungewollten Beschleunigung durch das E-Gas führt? Was bringt dir dann dein neues Steuergerät?

Ohne den Code auf Herz und Nieren zu testen sollte man ihn eh nicht in solchen Anwendungen benutzen. Was verleitet dich zu der Annahme das closed source Entwickler sichereren Code schreiben wo sowas nicht auftreten würde?

Was machst du wenn jemand dank eines closed source Controller und "gutem Draht" zum Entwickler die Fehlfunktion remote auslösen kann, weil er dich evtl. beseitigen will? Wie auch schon weiter oben erwähnt, viele Augen sehen mehr, das führt zu sichererem Code.

Erleuchte uns mit deiner Weisheit, wie man die Situation verbessern kann, dass Siemens mit 80% Marktanteil nur geschlossene Systeme verkauft die Teilweise noch mit MS CE 5.0 oder MS CE 6.0 laufen ?

Ganz einfach, kaufe Alternativen! Wie bei allem, wenn du den Machenschaften auch noch mit deinem Portemonnaie zustimmst, hast du ja im Grunde kein Recht dich zu beschweren.

 

[Zehkul]

Die NSA wird selbst eine Taskforce haben die Software auf Sicherheitslücken abklopft.

Nicht mal das ist ja bei Closed Source Programmen wirklich nötig, sie müssen einfach nur befehlen, dass anderen unbekannte Sicherheitslücken nicht gefixt und stattdessen gemeldet werden. Bin mir ziemlich sicher, dass ein Großteil von Stuxnet so entstanden ist …

Nicht ganz richtig. Tausche kann gegen wird Backdoors enthalten wenn die NSA es so will. Ich sehe hier kein Sicherheitsvorteil ...

Ich empfehle einen Blindenhund. Und nein, wird nicht, die NSA hat definitiv Probleme, Hintertüren in Open Source Software einzubauen. Das ist einfach Fakt. Fakt wie es ist schwieriger durch eine offene Tür zu gehen als erst die Wand daneben einzuschlagen. Bei einheimischer Software kann die NSA machen was auch immer sie will, bei Open Source ist es möglich aber verdammt schwer. Beschäftige dich einfach mal ein bisschen mit Open Source und es wird dir auch auffallen.

Erleuchte uns mit deiner Weisheit, wie man die Situation verbessern kann, dass Siemens mit 80% Marktanteil nur geschlossene Systeme verkauft die Teilweise noch mit MS CE 5.0 oder MS CE 6.0 laufen ?

Na ganz einfach, wie DeoDeRant schon schreibt: Etwas anderes kaufen. So funktioniert Marktwirtschaft. Monopole gibt es nur dann, wenn jeder so blöd ist, beim Monopolisten einzukaufen. Deshalb schrieb ich ja auch das Problem ist hausgemacht, und wenn die ganze Branche daran schuld ist.

 

[AntiUser]

Ein gewinnorientiertes Unternehmen welches proprietäre Software herstellt wird den Fokus eher auf Dinge legen die für die Konsumenten einen offensichtlichen Unterschied ausmachen = Gewinn, also nur Funktionalität und Optik, die Sicherheit kommt da oft zu kurz da es ja von den Kunden eh niemand überprüfen kann. Ein gutes Beispiel ist da Adobe.

Ein Beispiel bei dem es genau anders rum ist, dass ist iOS (ja ich weis, Darwin ist OSS). Ein System bei dem die Sicherheit einer der Argumente für die Kunden ist. Selbst TopHacker benötigen teilweise Monate um das System zu hacken.

Weil Apple dort wildert und kaum etwas zurückgibt.

Sie können es sich doch nehmen, das ist doch das schöne an OSS.

Industrielle Steuerungen bestehen meist aus einer Kombination von verschiedenen Komponenten die eh schon ab Werk mit verschlossenem Code laufen, die werden dann eben in ein Konzept eingebaut.

Richtig Erkannt.

Dort herrscht ein ähnliches Dilemma wie mit Desktop Software, bestimmte Hersteller die den Markt dominieren, weil es genug Kunden noch an Kompetenz fehlt, bzw, denen es egal ist solange es funktioniert.

Was sind denn deine Alternativen zu einer SPS Steuerung in Industrieanlagen? Wie kann ich mit genau so einfachen Mitteln große Anlagen aufbauen? In der Industrie zählen andere Werte als die von euch propagierten idealistisch Ansichten!

Ganz einfach, kaufe Alternativen!

Na ganz einfach, wie DeoDeRant schon schreibt: Etwas anderes kaufen. So funktioniert Marktwirtschaft. Monopole gibt es nur dann, wenn jeder so blöd ist, beim Monopolisten einzukaufen. Deshalb schrieb ich ja auch das Problem ist hausgemacht, und wenn die ganze Branche daran schuld ist.

Die da währen bei Steuerungsanlagen in der Industrie? Was sind die guten Alternativen mit perfekten OSS von höchster Sicherheit? Aber bedenkt dabei auch die Fähigkeiten überhaupt Softwareupdate durchzuführen bei den Anwenderprogrammen.

Beschäftige dich einfach mal ein bisschen mit Open Source und es wird dir auch auffallen.

Beschäftige du dich damit und es wird dir Auffallen, dass ich Recht habe. Die Sicherheit fußt auf anderen Grundlagen, aber Sie ist mit Sicherheit nicht besser als bei geschlossenen Programme, aber das hatten wir zur genüge...

Jede Software hat ausnutzbare Sicherheitslücken. Ob diese gewollt eingebaut wurden oder "ausversehen" einfach versehentlich eingebaut Sicherheitslücken nicht geschlossen wurden kommt aufs gleiche raus. Am Ende ist der Code im System und läuft ...

 

[Zehkul]

Sie können es sich doch nehmen, das ist doch das schöne an OSS.

Irrtum, das ist das schöne an Grabbeltischlizenzen. Mit dem Linuxkernel funktioniert das nicht.

Die da währen bei Steuerungsanlagen in der Industrie Am Ende ist der Code im System und läuft ...? Was sind die guten Alternativen mit perfekten OSS von höchster Sicherheit? Aber bedenkt dabei auch die Fähigkeiten überhaupt Softwareupdate durchzuführen bei den Anwenderprogrammen.

Lesekompetenz ist wirklich nicht deine Stärke. Ich habe bereits geschrieben, dass ich mich mit dem Gebiet nicht auskenne, aber es mit Sicherheit hausgemacht ist, wenn auch von der ganzen Branche. Selbst wenn es also irgendwo wirklich keine Alternativen gibt, widerspricht das immer noch nicht meiner Aussage, da war einfach nur die ganze Branche zu blöd.

Beschäftige du dich damit und es wird dir Auffallen, dass ich Recht habe.

So viel heiße Luft, so wenig dahinter.

Jede Software hat ausnutzbare Sicherheitslücken. Ob diese gewollt eingebaut wurden oder "ausversehen" einfach versehentlich eingebaut Sicherheitslücken nicht geschlossen wurden kommt aufs gleiche raus.

Das macht einen verdammt großen Unterschied. Wenn etwas bewusst eingebaut wird, ist es da. Immer, sofort, jederzeit. Wenn du darauf wartest, dass etwas versehentlich eingebaut wird, wartest du mitunter ziemlich lange.

 

[Daaron]

Es hat natürlich Nachteile von einem Konzern abhängig zu sein aber es hat auch seine Vorteile.

Welchen Vorteil habe ich, wenn ich mich für Jahr und Tag an einen Konzern fessle? Selbst wenn ich mich bei meiner Infrastruktur an einen der Linux-Integratoren wie Suse oder Red Hat wende, bin ich nicht gebunden. Ich kann jederzeit und ohne größeren Aufwand wechseln.
Also dann mach dich mal nützlich. Zeig uns die Vorteile, wenn du dich an Microsoft fesselst.

Es wurde auch schon Stuxnet angesprochen, in der gesamten Automatisierungsbranche gibt es keine Linux Alternative. Überhaupt in der gesamtem Industrie gibt es keine relevanten Hard- und Softwarekombinationen die ausschließlich auf Linux basieren.

Und wessen Schuld ist das? Mal ganz ehrlich, und nüchtern betrachtet? Ist "dieser Linux-Typ" schuld, dass die Industrie sich hier an wenige dominante Hersteller gefesselt hat?

Die Linuxuser hier reden immer vom über den Tellerrand blicken, blickt doch endlich mal über euren eigenen.

Über den Tellerrand zu schauen bedeutet auch, sich mal neuer Möglichkeiten zu öffnen. Kenner der Open Source - Szene wissen, wie es bei Closed Source abgeht. Sie kommen normalerweise aus dem CS-Bereich und waren froh, eine Alternative zu finden. Sie wissen, warum sie lieber auf FOSS setzen. Die CS-Verteidiger hingegen... wie viele von denen haben mal einen ERNSTHAFTEN und UNVOREINGENOMMENEN Versuch bei FOSS gemacht?

Schau dir die Blockade-Haltung hier im Thread an. Egal, wie oft München (die es ja nun wissen müssten) sagen, dass LiMux ein Erfolg ist, und egal wie oft andere Riesenprojekte wie die Gendarmerie erwähnt werden, immer kommen die Closed Source Zombies aus ihren Löchern und glauben kein Wort.

Sein wir doch mehr ehrlich, jede Sicherheitslücke mit der Möglichkeit seine Rechte auf ROOT zu erweitern ist potentiell eine BACKDOOR. Und derer gibt es weis Gott genug. Wer sagt denn, dass es eingeschleuster Code ist? Wieso nicht einfach eine Liste nicht gefixter Sicherheitslücken die ein einsamer Kerl brav der NSA übermittelt?

Möglich, aber während die NSA bei Closed Source einfach ANORDNEN kann, dass Lücken erhalten bleiben, würde diese Lücke bei Open Source wohl früher oder später gefunden.

Wieso benutzen die Hersteller kein OSS Unterbau? Die Algorithmen können ja trotzdem geschlossen sein.

Bin ich Moses? Liegt vielleicht an der mangelnden Komplexität der meisten Steuergeräte, es lohnt sich nicht da eine Grenze zu ziehen.

Nicht ganz richtig. Tausche kann gegen wird Backdoors enthalten wenn die NSA es so will. Ich sehe hier kein Sicherheitsvorteil ...

Die NSA ist innerhalb der Grenzen der USA übermächtig, aufgrund bescheuerter Panik-Gesetzgebung. Das hat aber kaum Einfluss auf Entwickler außerhalb der USA. Spätestens außerhalb des US-Blocks (zu dem auch die EU gehört) wars das für dei NSA. Nichts würden Chinesen oder Russen lieber tun als die NSA auflaufen zu lassen.

Es gibt unzählige offene Betriebssysteme (Ubuntu, Mint, div. BSDs, ...) mit tausenden Tools die alle entsprechende Türchen enthalten können. Wobei es egal ist, ob der Code absichtlich eingeschleust wurde oder einfach "ausersehen" eine Sicherheitslücke nicht geschlossen wurde.

Der Unterschied ist, wie mit Lücken umgegangen wird. Ich erinnere ncohmal an die letzte Woche gepatchte Lücke in verschiedenen MS-Produkten.... ausgenutzt und bekannt seit Juni oder Juli. Oder wie war das damals mit der Lücke in der JPG-Bibliothek? Da war auch freie Software betroffen, nur gabs damals für Windows den Fix erst nach 5-6 Monaten, für die damals gängigen Distributionen kam der Fix nach ner guten Woche.

Ich schrieb deshalb auch Holzgerippe ...:

...und du machst dich trotzdem nur lächerlich mit der Aussage.

Und wie willst du diese bei Industriellen Steuerungen schließen? Kleiner Tip, das Thema kann nur nach hinten los gehen für euch .

Befallen wurden die Steuerungssysteme aber über Sicherheitslücken in den angeschlossenen WINDOWS-Systemen. Aber auch bei den Steuerungen selbst, z.B. Heizungssteueranlagen von Vaillant liegt der Hund begraben.
Wie schon gesagt, die OS-Community ist schärfer bei solchen Meldungen. Willst du etwa bei deiner Heizungsanlage, bei deiner Beleuchtungssteuerung oder, kommt auch bald, deinem Smart Meter (vernetzte Stromzähler), darauf vertrauen, dass ein träger Konzern die Füße hoch bekommt? Viel zu oft schlampen die Konzerne, lieber werden noch ein paar Millionen gescheffelt, als auf dringende Probleme einzugehen.
Also ich hätte es lieber, wenn ich die Steuerung im schlimmsten Fall selbst patchen kann.

Was machst du, wenn dein neues Motorsteuergerät ein von dir Fehler hat, welcher zu ungewollten Beschleunigung durch das E-Gas führt? Was bringt dir dann dein neues Steuergerät?

Dasselbe was du tust, wenn in geschlossener Software in Fehler entsteht: am Baum kleben. Aber gut, Argument akzeptiert: geschlossene Software kann hier, obwohl sie eine Blackbox ist, anständig geprüft werden.

Erleuchte uns mit deiner Weisheit, wie man die Situation verbessern kann, dass Siemens mit 80% Marktanteil nur geschlossene Systeme verkauft die Teilweise noch mit MS CE 5.0 oder MS CE 6.0 laufen ?

Vendor Lock-In, rum wie 'num. Genau davon rede ich die ganze Zeit. Mit offenen Systemen wäre nichts passiert.

Nicht mal das ist ja bei Closed Source Programmen wirklich nötig, sie müssen einfach nur befehlen, dass anderen unbekannte Sicherheitslücken nicht gefixt und stattdessen gemeldet werden. Bin mir ziemlich sicher, dass ein Großteil von Stuxnet so entstanden ist …

Tatsächlich wäre das eine sehr gute Erklärung dafür, dass so viele wirklich kostbare 0-Days dafür ver(sch)wendet wurden. Du kennst ja sicher den ungefähren Preis EINES so kritischen 0-Days.

 

[Fabian228]

Das was wir aktuell behandeln ist absolute Themenverfehlung aber hier geht es auch um OSS im allgemeinen.

Es gibt keine Alternative zur SPS wie sie aktuell eingesetzt werden und Siemens ist zurecht Marktführer in Deutschland auf diesem Gebiet auch wenn nicht alles gut ist von ihnen aber bei anderen Herstellern ist es teilweise noch viel schlechter.
Bei solchen Industrieanlagen geht es um sehr viel Geld und auch um Menschenleben. Da geht niemand her und sagt nehmen wir lieber Linux das ist offen. Es muss alles zertifiziert sein, bestimmten Richtlinien entsprechen und schlussendlich vom TÜV abgenommen werden. Welcher Open Source Hersteller könnte sich so etwas leisten?

Es hat auch seinen Grund warum man alte Software und alte Technik einsetzt, sie ist bewährt. Die Kosten für etwas neues sind enorm und die Umsetzung nimmt viel Zeit in anspruch.

Die Vorteile wenn man Software von einem Konzern einsetzt welche nicht Open Source ist, dass wenn man Änderungen will sich an diesen Konzern wenden kann, welcher seine Software bestens kennt und diese Änderungen dann umsetzt oder einem Erweiterungen zukommen lässt welche dann vermutlich in der nächsten Version mit eingepflegt werden.
Es kann doch nicht jede Firma irgendwen beauftragen einem seine Software so anzupassen das man sie nutzen kann, das wären unmögliche Zustände und würde in einer Katastrophe enden.
Diverse Backdoors sind bei solchen Anlagen ebenfalls irrelevant da es normalerweise geschlossene Netze sind.

Bei reiner IT Infrastruktur mögen die Anforderungen für OSS passend sein, bei den meisten anderen Bereichen meiner Meinung nach nicht.

/Edit: Ich will auch nicht abstreiten das die Umstellung in München eine schlechte Sache ist wenn es sich rechnet und Vorteile bringt auch wenn manche erst auf längere Sicht greifen aber man sollte das ganze schon etwas differenzierter sehen. Es wird nie die perfekte Software geben und für komplexe Software wird es immer CS geben weil vermutlich OSS bei gewissen Teilen nie damit mithalten kann.

 

[DeoDeRant]

Ein Beispiel bei dem es genau anders rum ist, dass ist iOS (ja ich weis, Darwin ist OSS). Ein System bei dem die Sicherheit einer der Argumente für die Kunden ist. Selbst TopHacker benötigen teilweise Monate um das System zu hacken.

Sicher vor wem? Apple ist laut Snowden Dokumenten auch in Prism involviert, und wie sicher z.B. der Fingerabdruck-Scanner ist haben die vom CCC ja gezeigt. Man kann closed source Software einfach nicht trauen. Zudem beruht die "nicht Hackbarkeit" von iOS ansonsten eben darauf dass Apple eine kluge Auswahl an open source Komponenten trifft.

Sie können es sich doch nehmen, das ist doch das schöne an OSS.

Klar, jedoch geht es langfristig nach hinten los wenn kaum noch etwas zu holen ist und nichts wirklich "nachwächst" wo es sich lohnt sich zu bedienen..

Was sind denn deine Alternativen zu einer SPS Steuerung in Industrieanlagen? Wie kann ich mit genau so einfachen Mitteln große Anlagen aufbauen? In der Industrie zählen andere Werte als die von euch propagierten idealistisch Ansichten!

http://www.linux-automation.de/plc/index_en.html

http://code.google.com/p/open-plc/wiki/Main?tm=6

http://www.openapc.com/

Hab nur kurz nach "open source PLC" gesucht, da gibts bestimmt noch mehr..

Die da währen bei Steuerungsanlagen in der Industrie? Was sind die guten Alternativen mit perfekten OSS von höchster Sicherheit? Aber bedenkt dabei auch die Fähigkeiten überhaupt Softwareupdate durchzuführen bei den Anwenderprogrammen.

SPS sind doch nur ganz simple Betriebssysteme, vergleichbar mit den Anfängen der Computertechnik, wo bei deren Entwicklung gar nicht an eine mögliche Manipulation gedacht wurde, also auch kein wirklicher Schutz davor besteht.

Mit nem richtigen OS bist du auf jeden Fall sicherer unterwegs als mit so einem SPS pseudo OS. Die Dummheit war da eben die Konzepte aus dem analogen Bereich zu kopieren und gar nicht an die möglichen Angriffe zu denken wenn es digital geregelt wird..

Beschäftige du dich damit und es wird dir Auffallen, dass ich Recht habe. Die Sicherheit fußt auf anderen Grundlagen, aber Sie ist mit Sicherheit nicht besser als bei geschlossenen Programme, aber das hatten wir zur genüge...

Geschlossene Programme sind doch auch leicht ausrechenbar wenn es auf vorhersehbarer Logik beruht, also bekannte logische Schaltungen "digitalisiert" werden.

Jede Software hat ausnutzbare Sicherheitslücken. Ob diese gewollt eingebaut wurden oder "ausversehen" einfach versehentlich eingebaut Sicherheitslücken nicht geschlossen wurden kommt aufs gleiche raus. Am Ende ist der Code im System und läuft ...

Wichtig sind Maßnahmen die verhindern dass Eindringlinge Schaden anrichten können, Crypto, Berechtigungen und Isolation der Bereiche voneinander. Du kannst sogar den Root Account so stark einschränken dass du damit nix machen kannst. Eben Dinge die die Grundlage für moderne Betriebssysteme sein sollten, und im open source Bereich ja auch vorbildlich umgesetzt werden. Auf Marketing von Firmen die meinen durch geschlossenen Code auf furzeinfachen Systemen sicherer zu sein, fallen doch nur Leute rein die keine Ahnung haben wie Computer funktionieren. Nicht viel besser als die Hi-Fi Voodoo Schwurbler und deren Kunden.

Aber gut dass die Industrie reagiert: http://www.heise.de/open/meldung/Jailhouse-Noch-n-Hypervisor-fuer-Linux-2050259.html

 

[chithanh]

Sorry für OT, aber da die Diskussion in Richtung Sicherheit abdriftet hier auch mein Senf dazu:

Was ist mit den Steuerungssystemen in Autos? Wieso gibt es dort keine breit angelegt OSS?

Bei Autos steht der große Knall noch bevor. Die kommende Oberklassegeneration ist die erste, in der die Trennung zwischen Entertainment und sonstigen Steuerungssystemen im Wesentlichen aufgehoben wurde (der Kunde will halt das Fahrwerk von dem Touchscreen in der Mitte aus einstellen können, und ähnliche Spirenzchen). Einem Angreifer, der in das Entertainment-System eindringt, bieten sich also plötzlich viel mehr Möglichkeiten.

Nach dem Knall werden auch die Autohersteller sich mehr um IT-Sicherheit kümmern, und die Verfügbarkeit des Quellcodes ist eine notwendige (jedoch nicht hinreichende) Voraussetzung, um die Sicherheit eines Stücks Software beurteilen zu können.

 

[Autokiller677]

Na ganz einfach, wie DeoDeRant schon schreibt: Etwas anderes kaufen. So funktioniert Marktwirtschaft. Monopole gibt es nur dann, wenn jeder so blöd ist, beim Monopolisten einzukaufen. Deshalb schrieb ich ja auch das Problem ist hausgemacht, und wenn die ganze Branche daran schuld ist.

Es mag sein, dass sich die Branche da selbst reingeritten hat. Das Problem ist, dass ist nicht mehr zu ändern. Man hängt jetzt in dem Vendor Lock. Und jetzt fehlen halt die Alternativen. Und keine Firma kann es sich leisten, aus idealistischen Gründen nur auf OSS zu setzen und damit ihre Produktivität schleifen zu lassen, da lacht die Konkurrenz.

Ansonsten: Nenne mir doch bitte eine gute Alternative zur Adobe Master Collection. Mit der guten Integration zwischen den Programmen und allem drum und dran. Das fängt schon bei Photoshop an, ich kenne bisher keine Alternative. Gimp ist gut, aber das ich z.B. für RAW noch immer UFRAW brauche und das afaik nicht mit der 64Bit Version von Gimp läuft ist doch schon ein Nogo.

Was die Vorteile einer Herstellerbindung angeht: Mir fällt da als erstes Support ein. RHEL mag auch supportet werden, ja. Aber wie siehts z.B. aus, wenn sich die LibreOffice Entwickler plötzlich denken, "hey machen wir den Laden dicht". Vielleicht findet sich keiner, der das Weitermacht und dann stehst du plötzlich im Regen. Bei MS sagst du "hier, vertraglich noch Support bis XXX für Office 2007, nix einstampfen." und bekommst deinen Support.

 

[Cool Master]

Also müsste man nächstes Jahr wieder upgraden.

Ist auch so verdammt schwer ein:

apt-get update
apt-get dist-upgrade

zu machen...

Ich finde es nach wie vor super das München auf Linux umgestellt hat und hoffe das bald andere Städte folgen - vor allem da ich selbst Linux Supporter bin

 

[Fonce]

Es muss alles zertifiziert sein, bestimmten Richtlinien entsprechen und schlussendlich vom TÜV abgenommen werden. Welcher Open Source Hersteller könnte sich so etwas leisten?

Ich hoffe dir ist schon klar, das solche Prüfungen bei Software total für die Katz sind solange man diese Dinge nicht über den Code prüfen kann? Dort können im Code wer weis was für Dinge ablaufen und Fehler enthalten sein die nur unter ganz bestimmten Bedingungen auftreten. Um eine Software komplett zu prüfen brauche ich den Code, ansonsten kann ich niemals sagen die Software macht nur dies und das!

Die Vorteile wenn man Software von einem Konzern einsetzt welche nicht Open Source ist, dass wenn man Änderungen will sich an diesen Konzern wenden kann, welcher seine Software bestens kennt und diese Änderungen dann umsetzt oder einem Erweiterungen zukommen lässt welche dann vermutlich in der nächsten Version mit eingepflegt werden.
Es kann doch nicht jede Firma irgendwen beauftragen einem seine Software so anzupassen das man sie nutzen kann, das wären unmögliche Zustände und würde in einer Katastrophe enden.
Diverse Backdoors sind bei solchen Anlagen ebenfalls irrelevant da es normalerweise geschlossene Netze sind.

Ja was für chaotische Zustände wenn ich mir die Firma die Anpassungen für mich machen soll einfach aussuchen kann.
[EDIT]Die Renovierung meines Hauses lasse ich ja auch immer nur von der Firma erledigen die es gebaut hat. Was wären das den auch für Zustände wenn ich mir den Putzer aussuchen könnte der meine Wand neu verputzt...[/EDIT]

Ich glaube einigen hier ist gar nicht bewusst, das grade wenn es um Sicherheit von Software geht und ich diese überprüfen möchte dies nicht ohne einblick in den Code geht.
Wenn jemand daher kommt und sagt ich habe hier die geilste Verschlüsselungssoftware die werdet ihr niemals knacken, aber nicht sagt wie diese Funktioniert, welche Algorithmen sie verwendet usw., dann wird diese niemals in kritischen Bereichen eingesetzt werden und der Typ erstmal nicht für voll genommen werden. Einfach aus dem Grund das das jeder behaupten kann und man in solchen Bereichen nur Software einsetzt die man wirklich prüfen kann. Dies geht nur wenn man den Code hat. Es hat seine Gründe warum OpenSSL und OpenSSH so verbreitet sind.

 

[Zehkul]

Was die Vorteile einer Herstellerbindung angeht: Mir fällt da als erstes Support ein. RHEL mag auch supportet werden, ja. Aber wie siehts z.B. aus, wenn sich die LibreOffice Entwickler plötzlich denken, "hey machen wir den Laden dicht". Vielleicht findet sich keiner, der das Weitermacht und dann stehst du plötzlich im Regen.

Nein, das ist gerade ein Vorteil für keine Herstellerbindung und OSS. Wenn es hart auf hart kommt und Microsoft plötzlich verschwindet, stehst du nicht nur im Regen, sondern vorm Supergau. Wenn die Entwickler eines OSS Programms verschwinden … wen kümmerts? Stell einfach neue an. Der Markt ist da viel freier. Jeder kann übernehmen, und es gibt immer irgendwo einen Studenten, der den Sourcecode eh schon in und auswendig kennt, weil er in seiner Freizeit dran rumgebastelt hat. Gib dem Kohle und du hast einen perfekten Entwickler, der von Tag 1 an maximale Produktivität bringt.

 

[Daaron]

Es mag sein, dass sich die Branche da selbst reingeritten hat. Das Problem ist, dass ist nicht mehr zu ändern. Man hängt jetzt in dem Vendor Lock. Und jetzt fehlen halt die Alternativen. Und keine Firma kann es sich leisten, aus idealistischen Gründen nur auf OSS zu setzen und damit ihre Produktivität schleifen zu lassen, da lacht die Konkurrenz.

Nicht aus idealistischen Gründen, sondern rein aus monetären und schlicht und ergreifend hinsichtlich er eigenen Sicherheit. Nimm nur den Adobe-Hack. Wenigstens eine unsere Mailadressen tauchte in der Liste auf, denn wir haben die Creative Cloud angetestet. 3x darfst du raten, ob wir den Mist jetzt noch mieten oder einfach bei unseren alten Offline-CS bleiben...

Gimp ist gut, aber das ich z.B. für RAW noch immer UFRAW brauche und das afaik nicht mit der 64Bit Version von Gimp läuft ist doch schon ein Nogo.

Geht wunderbar, das UFRaw-Plugin muss nur (wie überraschend) ebenfalls gegen 64Bit-Bibliotheken kompiliert sein. sudo apt-get install gimp-ufraw

Was die Vorteile einer Herstellerbindung angeht: Mir fällt da als erstes Support ein. RHEL mag auch supportet werden, ja. Aber wie siehts z.B. aus, wenn sich die LibreOffice Entwickler plötzlich denken, "hey machen wir den Laden dicht".

Du hast einen Support-Vertrag mit RHEL, nicht mit der Document Foundation (oder Apache, was OO angeht).
RHEL sorgen dafür, dass du bis Ende deines Supportzeitraums mit notwendigen Sicherheitsaktualisierungen und Bugfixes für alle Pakete versorgt wirst, die sich im gebuchten Repository befinden.

Mehr bietet dir Microsoft auch nicht. Du hast n Support-Vertrag für dein MSO2k7 bis Anno Schuh, und innerhalb dieser Zeit kriegst du Sicherheitsupdates und Stabi-Fixes. Du kriegst aber keine neuen Features, außer es ist ein Abfallprodukt anderer Entwicklungen.