Doch, es ist im Vorteil, weil die "ganze Welt" draufgucken kann. Natürlich kann mal was übersehen werden, so wie hier in dem Fall, aber es wurde zum Glück nur relativ kurzzeitig übersehen. Es sind keine Hacks bekannt geworden, die auf dieser Lücke basieren. Von daher würde ich sagen, Open Source funktioniert und hilft bei Sicherheit und Vertrauenswürdigkeit.
Bei proprietärer Software hätten es solche ressourcenreichen Angreifer einfacher: sie müssen nur einen Mitarbeiter als "Geheimagent" in die Firma kriegen (bei den gefragten Skills bestimmt nicht so schwer), der dann dort intern entsprechende Rechte im Code-Repo bekommt. Und schwupps, plötzlich schauen da nur noch viel weniger Augen auf den Code (nämlich nur noch die berechtigten Mitarbeiter der Firma) als wenn der Code weltweit verfügbar wäre. Ein derart gut versteckte Backdoor würde wahrscheinlich nie erkannt werden in den meisten Software-Firmen. Da wäre es dann viel zu spät und dann würden alle von einem Hackerangriff auf X in den News lesen.
Theoreitsch sind bei Closed Source Software noch viel gruseligere Sachen denkbar, man denke nur an potenzielle NSA-Deals mit der (US-)Firma oder so. Es passiert ja alles im Geheimen und niemand hat Einblick. Dass sie gefundene Schwachstellen offen lassen für den eigenen Bedarf, ist eh fast garantiert. Und das ist dann auch nichts anderes als eine Backdoor. Der eine größere Wurmangriff vor nicht allzu langer Zeit ging auf die "Eternal Blue" oder so getaufte Schwachstelle zurück und die hatte die NSA eigentlich für sich behalten, um Windows-Systeme selbst gezielt angreifen zu können. Microsoft kann dann zwar behaupten, sie hätten nix davon gewusst, aber jetzt stell dir mal vor das war ein Deal und sie wussten davon. Das wäre eine Bankrotterklärung für sämtliche Sicherheitsversprechen von jeglicher (zumindest US-basierten) Closed Source Software. Weil du dem Zeugs einfach nicht vertrauen kannst, wenn der Code nicht offen liegt. Sie können immer A behaupten aber B einbauen, und du kriegst es nicht mit. Immer. und immer wieder.
Bei proprietärer Software hätten es solche ressourcenreichen Angreifer einfacher: sie müssen nur einen Mitarbeiter als "Geheimagent" in die Firma kriegen (bei den gefragten Skills bestimmt nicht so schwer), der dann dort intern entsprechende Rechte im Code-Repo bekommt. Und schwupps, plötzlich schauen da nur noch viel weniger Augen auf den Code (nämlich nur noch die berechtigten Mitarbeiter der Firma) als wenn der Code weltweit verfügbar wäre. Ein derart gut versteckte Backdoor würde wahrscheinlich nie erkannt werden in den meisten Software-Firmen. Da wäre es dann viel zu spät und dann würden alle von einem Hackerangriff auf X in den News lesen.
Theoreitsch sind bei Closed Source Software noch viel gruseligere Sachen denkbar, man denke nur an potenzielle NSA-Deals mit der (US-)Firma oder so. Es passiert ja alles im Geheimen und niemand hat Einblick. Dass sie gefundene Schwachstellen offen lassen für den eigenen Bedarf, ist eh fast garantiert. Und das ist dann auch nichts anderes als eine Backdoor. Der eine größere Wurmangriff vor nicht allzu langer Zeit ging auf die "Eternal Blue" oder so getaufte Schwachstelle zurück und die hatte die NSA eigentlich für sich behalten, um Windows-Systeme selbst gezielt angreifen zu können. Microsoft kann dann zwar behaupten, sie hätten nix davon gewusst, aber jetzt stell dir mal vor das war ein Deal und sie wussten davon. Das wäre eine Bankrotterklärung für sämtliche Sicherheitsversprechen von jeglicher (zumindest US-basierten) Closed Source Software. Weil du dem Zeugs einfach nicht vertrauen kannst, wenn der Code nicht offen liegt. Sie können immer A behaupten aber B einbauen, und du kriegst es nicht mit. Immer. und immer wieder.
