News SolarWinds-Attacke: Angreifer hatten Zugang zu Microsofts Quellcode

[Foxley]

MS hat jetzt die Wahl entweder wandern Kunden zu Linux ab weil sicherer weil open sorce code oder MS veröffentlicht ganz offizell den Quellcode das die IT Mitarbeiter in ihren Firmen selbst die Sicherheitslücken stopfen können oder alle gemeinsam MS Produkte fixen.Sonst endet das wie beim Flash Player...

Danke! Mir war doch was das gewisse Microsoft Partner schon längst auf den Source Code Zugriff hatten.
Also so schlimm kann es nicht sein wenn jemand unbefugtes den sieht.

Das Problem ist nicht wenn nur ein unbefugter auf diesen Code schaut das Problem seh ich wenn dieser Code durch Hände geht die Schaden anrichten wollen und die sich davor schützen wollen, diese können immer nur drauf reagieren und nicht präventiv handeln. Also Vorsicht mit so pauschalisieren und relativieren von Gefahren.Und auch wenn es eine gewisse Gruppe an priviligierten gibt die Zugang zum Share Code haben, ist das schon eine egoistische Haltung zu meinen man sei sicher, denn mehr Hirne haben mehr Möglichkeiten Dinge zu Schützen oder Kaputt zu machen.Es brauch da nur Kreativität.

 

[lynx007]

Seit Snowden ist es Fakt das die NSA auch bei "Freunden" Wirtschaftsspionage betreibt.

Da ging es im Kern aber um Massenüberwachung zur Terrorbeämpfung, nicht um Wirtschaftsspionage. Das die NSA auch Wirtschaftsspionage betreibt ist seit spätestens den 90er Jahren bekannt. Stichwort: Enercon

https://www.zeit.de/wirtschaft/2013-07/wirtschaftsspionage-nsa-usa-deutschland/seite-2

 

[andy_m4]

Ein Open-Source Windows (wie er hier und da mal in einigen Beiträgen ins spiel gebracht wird) wäre gar nicht sooo abwegig. Windows nimmt bei Microsoft längst nicht mehr so eine zentrale Rolle ein wie noch in den vergangenen Jahrzehnten.
Stattdessen entwickelt sich Windows mehr hin zu einer Plattform für Microsoft Clouddienste. Und mit Cloud verdient man da tüchtig Geld. Also richtig tüchtig. Die Einnahmen durch Windows-Lizenzen sind dagegen eher klein.

Vor diesem Hintergrund wäre es also sogar folgerichtig Windows freizugeben, weil jede weitere Installation potentiell das lukrative Cloudgeschäft ankurbelt.

Allerdings gibts auch einige Sachen die dagegen sprechen. Bei einem Open-Source-Windows hätte Microsoft nicht mehr die alleinige Kontrolle über Windows. Viel mehr könnten sich (vergleichbar zu Linux) verschiedene Distributionen entwickeln die dann mehr auf die Wünsche der Kunden hören (lieber Stabilität; dafür keine Telemetrie, keine Cortana, kein Candycrush).
Microsoft müsste dann also wieder aktiv um die Gunst der Kunden werben. Um den Vorsprung vor Mitbewerbern zu bewahren könnte man schon damit argumentieren das man ja das Original sei. Vermutlich werden auch Softwarehersteller die Lauffähigkeit ihrer Programme eher nur für das Original-Windows garantieren.

Mit anderen Worten: Man hat eigentlich nicht viel zu gewinnen, sondern fängt sich eher Unsicherheiten ein.
Und ob es die Verbreitung von Windows fördern würde ist auch fraglich. Wer jetzt schon kein Windows hat bei dem wird durch ein Open-Source-Windows kaum ein wirklicher Bedarf an Windows geweckt werden.

 

[KitKat::new()]

Allerdings gibts auch einige Sachen die dagegen sprechen. Bei einem Open-Source-Windows hätte Microsoft nicht mehr die alleinige Kontrolle über Windows. Viel mehr könnten sich (vergleichbar zu Linux) verschiedene Distributionen entwickeln

Könnte man das nicht mit einer Lizenz verhindern, die dieses Recht nicht freigibt?

 

[longusnickus]

Das weiß man doch längst schon.
Um die Daten anzusehen, welche gesendet werden, gibt es ein Tool, das die gesendeten Daten protokolliert.
Bzgl. das wohin ließe sich ohne Probleme darüber herausfinden, wo Verbindungen hingemacht werden.

Geheimer Tipp: Es ist Microsoft

das kann man gar nicht wissen. höchstens oberflächlich. für das gesamte muss man in den quellcode schauen. windows könnte die daten verschlüsseln, bevor sie versendet werden. dann kannst du noch so viel protokollieren, es nutzt dir schlussendlich nichts
eine verbindung zu MS kann genauso ein umweg sein zum eigentlichen empfänger. ob man im quellcode andere hinweise findet zB in kommentaren wird sich herausstellen, falls der code überahaupt entwendet wurde und veröffentlicht wird

 

[andy_m4]

Könnte man das nicht mit einer Lizenz verhindern, die dieses Recht nicht freigibt?

Ja. Könnte man. Das ist aber dann strenggenommen kein Open-Source mehr.
Das wäre eher so dieser Shared-Source-Ansatz den es ja bei Microsoft auch schon gibt/gab.

Und damit fällt ja auch der entscheidende Vorteil von Open Source ja auch weg. Der ist ja gerade, das Du den Quelltext nicht nur angucken darfst, sondern auch ändern usw.
Wenns lediglich ums kostenlos ginge, würde es ja auch durch Freeware tun.

Und als Shared Source hätte Microsoft meiner Meinung noch weniger davon. Gut. Externe Leute könnten nach Bugs suchen und die Microsoft melden. Aber die kommen ja jetzt schon mit dem Bugfixing nicht mehr hinter her. Das würde nur dazu führen, das noch mehr offenen Bugs liegen bleiben. :-)
Wo man das eher verargumentieren könnte wäre als Transparenzoffensive (gerade weil Microsoft wegen Telemetrie sich immer wieder Vorwürfen aussetzen muss).
So nach dem Motto: "Seht her und prüfet" :-)

(unter uns: selbst das ist ja letztlich für die Katz solange man nicht testen kann, ob der Quelltext mit dem übereinstimmt was man als Kompilat auf dem Rechner hat; aber als PR Gag wäre sich sicher denkbar)

 

[KitKat::new()]

Ja. Könnte man. Das ist aber dann strenggenommen kein Open-Source mehr.
Das wäre eher so dieser Shared-Source-Ansatz den es ja bei Microsoft auch schon gibt/gab.

Quellcode offen für alle != Quellcode offen für eine eingeschränkte Zielgruppe

Und damit fällt ja auch der entscheidende Vorteil von Open Source ja auch weg. Der ist ja gerade, das Du den Quelltext nicht nur angucken darfst, sondern auch ändern usw.

Vorteil, oder Nachteil?
Der entscheidende Vorteil von Open Source, dass jeder Fehler finden und melden kann, ist ja noch da (wie du schon korrekt bemerkst).
Wenn Microsoft aber angeblich nicht mit den Bugs hinterher käme, wäre es doch sowieso unwahrscheinlich, dass sie den Quellcode offenlegen, oder?

(unter uns: selbst das ist ja letztlich für die Katz solange man nicht testen kann, ob der Quelltext mit dem übereinstimmt was man als Kompilat auf dem Rechner hat; aber als PR Gag wäre sich sicher denkbar)

Warum? Man kann doch trotzdem Bugs finden, auch wenn man denkt, dass Microsoft den Code nicht 100% dem Original nach veröffentlicht.
Ansonsten kann man durchaus überprüfen, ob der Quellcode das Kompilat ergibt. Je nachdem wie wichtig Microsoft das (Nicht-)Überprüfen-Können ist, gibt es verschiedene Verfahren (z.B. reproducible builds).

Wenns lediglich ums kostenlos ginge, würde es ja auch durch Freeware tun.

Dass du den Quellcode sehen kannst,heißt auch noch nicht, dass du das Kompilat kostenfrei nutzen kannst, oder doch?

 

[blackiwid]

Dass du den Quellcode sehen kannst,heißt auch noch nicht, dass du das Kompilat kostenfrei nutzen kannst, oder doch?

Ja höre den Blödsinn immer wieder, natürlich primär als Argument gegen Opensource, das Opensource oder in dem Fall shared source Kostenlos sei. Copyright gilt natürlich auch auf Opensource Software, bei Games kann man das am besten auf zeigen, z.B. wurde quake 3 der Source Code released aber nicht der Artwork unter ne CC Lizens gestellt, das heißt um das volle Spiel spielen zu können brauchte man immer noch ne gekaufte oder raubkopierte Version der CD.

Ja man kann Kopierschutz der dann fuer 1-2 Wochen hält vielleicht, natürlich besser integrieren in proprietäre Software, und hat dann halt für 1 Woche ne art Blockade oder so um das Raubkopieren zu erschweren, aber diese werden in der Regel wie gesagt sehr schnell auch aus gehebelt und dann gibts zum Thema Kostenlos nutzen keinen unterschied zu opensource und proprietär.

Genauso wie es proprietäre freeware gibt also kostenlos nutz/kopierbar gibt es opensource Software die nicht kostenlos (legal) benutzbar ist und eben proprietäre illegal kostenlos benutzbare proprietäre.

Die Leute scheinen den Unterschied zwischen Freibier und Freiheit nicht zu verstehen ich hab das soweit ich mich erinnere sogar mal nem Boss erklärt, ein weiteres Missverständnis ist das man opensource/libre Software frei geben muss, wenn aber Firma A, Firma B ne Opensource software verkauft muss Firma B die Software nicht frei geben und den Konkurrenten geben, sie haben nur die Möglichkeit den source dann Firma C zu geben um von denen Support zu kriegen wenn Firma A pleite geht oder zu teuer wird oder die Qualität nimmer stimmt.

Klar Firma A kann theoretisch dann den source veröffentlichen, aber da sie kein Zugang zu den Verbesserungen von Firma C haben können sie diese nicht veröffentlichen und da sie nicht Kunden von Firma C sind haben sie kein Zugriff und kein Recht den Code zu veröffentlichen.

Gleichzeitig koennte aber Firma A den Vertrag kriegen weil sie ihr Produkt Opensource anbieten und die Konkurenten nicht, und damit man keinen Vendor Lockin (ein Art von Monopol) hat.

 

[andy_m4]

Quellcode offen für alle != Quellcode offen für eine eingeschränkte Zielgruppe

Wie gesagt. Es geht darum, wie man den Quellcode freigibt.
Eher im Sinne von Open-Source (was dann aber eben nicht nur bedeutet, das man den Quelltext lesen, sondern ihn auch verändern darf und weitergeben darfst).
Oder im Sinne von Shared-Source (Du darfst ihn sehen, aber nicht ändern und dergleichen).

Letzteres hätte für die Anwender nur begrenzt Sinn. Klar kann er reingucken. Aber davon hat er nix.
Was sollte er davon haben?
Er kann nach Bugs suchen. Dadurch das er den Quelltext nicht ändern kann, kann er aber selbst keine Bugfixes schreiben. Er kann nur den Bug an Microsoft melden und dann hoffen das die ihn fixen (was schon jetzt wo Windows Closed-Source ist nicht wirklich gut klappt).
Man kann es natürlich auch als reinen Know-How-Gewinn betrachten. Wenn man selbst Software schreibt, das die eben besser an Windows angepasst ist. Nur Garantien das Deine Programme dann auch bei künftigen Windows-Versionen hast Du nur, wenn Du offizielle APIs benutzt. Also wird man auch das eher nicht machen.

Gleiches gilt auch, wenn Du neue Funktionen für Windows schreiben willst. Bei Shared-Source könntest Du das zwar prinzipiell machen, aber bist dann wieder darauf angewiesen das Microsoft das dann auch einbaut. Bei einem echten Open-Source-Windows könntest Du das Feature selbst einbauen und wärst nicht auf die Gnade von Microsoft angewiesen ,das sie Deinen Patch akzeptieren.

Kurzum: Die ganzen Vorteile von Open-Source hast Du bei Shared-Source nicht. Damit bleibt der Effekt überschaubar.

Ansonsten kann man durchaus überprüfen, ob der Quellcode das Kompilat ergibt. Je nachdem wie wichtig Microsoft das (Nicht-)Überprüfen-Können ist, gibt es verschiedene Verfahren (z.B. reproducible builds).

Ja. Ok. Es kommt natürlich darauf an, wie man es umsetzt.
Das wäre sozusagen der Optimalfall. Wenn sie halt nicht nur den reinen Quelltext veröffentlichen, sondern auch alles was drum herum ist um dann auch ein fertiges Windows zu bauen.

Dass du den Quellcode sehen kannst,heißt auch noch nicht, dass du das Kompilat kostenfrei nutzen kannst, oder doch?

Genau.
Ich meinte auch eher: Wenns Dir ums kostenlos geht, brauchst Du nicht zwingend Open Source.

 

[blackiwid]

Genau.
Ich meinte auch eher: Wenns Dir ums kostenlos geht, brauchst Du nicht zwingend Open Source.

Aber das gilt auch umgekehrt opensource software kannst du nicht unbedingt kostenlos benutzen, zumindest wenn es auch um Artwork und so sachen geht die oft ja noetig sind um ein Programm zu benutzen.

 

[KitKat::new()]

Oder im Sinne von Shared-Source (Du darfst ihn sehen, aber nicht ändern und dergleichen).

Shared Source sagt alleine etwas über die Begrenztheit der Offenheit des Quellcodes etwas aus. Über die konkreten Freiheiten weiß man dadurch noch nichts: Microsoft will Shared Source vereinfachen | heise online
Damit hast du potentiell alle Freiheiten, die es gibt.

Kurzum: Shared Source hat mit dem Offenlegen des Quellcodes mit einer limitierteren Lizenz als z.B. der Apachze Lizenz (welche quasi erlaubt damit zu machen was du willst), überhaupt nichts zu tun.

Ich meinte auch eher: Wenns Dir ums kostenlos geht, brauchst Du nicht zwingend Open Source.

Aha - das ist aber wahrscheinlich jedem PC-Nutzer klar

 

[andy_m4]

Shared Source sagt alleine etwas über die Begrenztheit der Offenheit des Quellcodes etwas aus.

Ich weiß gerade nicht, worum es Dir geht. Um Begrifflichkeiten zu diskutieren oder um die Sache.

Ich hab jetzt dargestellt, was die Vorzüge bzw. Nachteile der verschiedenen Formen der Quelltextfreigabe sind.
Ich hab versucht darzustellen, was ich mit Open-Source meine und was die Abgrenzung zu einem Shared-Source-Modell wären. Wobei ich den Begriff Shared-Source auch nur benutzt hab um abzukürzen was ich damit meine und nicht zwingend das, was Microsoft aktuell darunter versteht. Aber auch da habe ich mich bemüht deutlich zu machen, was ich damit meine.

Wenn irgendwas unklar sein sollte, komme bitte auf den Punkt. :-)

Aha - das ist aber wahrscheinlich jedem PC-Nutzer klar

Weiß nicht. Viele verbinden mit Open-Source lediglich kostenlos. Ich fand es daher wichtig das explizit klarzustellen.

 

[KitKat::new()]

Ich weiß gerade nicht, worum es Dir geht. Um Begrifflichkeiten zu diskutieren oder um die Sache.

Begrifflichkeiten, speziell Shared Source (ein Begriff von Microsoft). Der Rest war für mich schon geklärt.

 

[andy_m4]

Aber das gilt auch umgekehrt opensource software kannst du nicht unbedingt kostenlos benutzen

Ja. Richtig. Open Source muss nicht zwingend kostenlos sein. Es ist praktisch nur ein Nebeneffekt.

zumindest wenn es auch um Artwork und so sachen geht die oft ja noetig sind um ein Programm zu benutzen.

Ja. Das kann noch mal einer ganz anderen Lizenz unterliegen. Man kennt das ja von Spielen, wo die Engine Open Source ist aber die eigentlichen Spielinhalte reglementiert sind.

Begrifflichkeiten, speziell Shared Source (ein Begriff von Microsoft).

Ok.

 

[chartmix]

Nein, für ein Closed Source Programm bzw. OS ist das der Super Gau. Da bei Linux jeder rein schauen kann gibt es allgemein eine Sicherheit. Es gibt nicht umsonst das Sprichwort 4 Augen sehen mehr als 2. Das ist einer der Gründe warum Linux so sicher ist - alles ist offen und jeder kann den Code einem Audit unterziehen.
Bei MS sieht das halt anders aus.

Dadurch das jeder reinschauen KANN soll es sicher sein? Blödsinn
Auch bei Windows gucken mehr als 2 Augen auf Veränderungen.
Auch viele Augen übersehen einiges.
Wieviel Code wird denn bei Linux (Kernel oder Distribution?) so auditiert?
Meinst du bei MS passiert davon nichts?

Noch nicht einmal einer der weltgrößten Betreiber einer Cloud kann sich selbst vor ungebeteten Besuch schützen. Soviel zur Sicherheit in der Cloud.

Was hat der Vorfall mit der Sicherheit der Cloud zu tun?

MS hat jetzt die Wahl entweder wandern Kunden zu Linux ab weil sicherer weil open sorce code

Sicherer weil Opensource? Ist für mich pauschal Blödsinn.

 

[Cool Master]

Dadurch das jeder reinschauen KANN soll es sicher sein? Blödsinn

Nein. Sicherer als Windows? Ja.

Wieviel Code wird denn bei Linux (Kernel oder Distribution?) so auditiert?

Wenn man bedenkt, dass es dafür extra Unternehmen gibt viel. Siehe z.B.:

https://www.google.com/search?q=Linux Code Audit

Meinst du bei MS passiert davon nichts?

Nein. Wie soll das bei Closed Source auch gehen?

 

[KitKat::new()]

Nein. Wie soll das bei Closed Source auch gehen?

Ich habe kürzlich über Shared Source bei Microsoft gelernt: Open Source, Shared Source oder die übliche Geheimniskrämerei? (zdnet.de)

Zudem sie auch interne Audits machen können.

 

[Don_2020]

Wenn der Betreiber der Cloud nicht einmal sich selbst schützen kann, wie kann er dann seine Kunden schützen?

 

[Cool Master]

@KitKat::new()

Das ist schon alt. MS muss z.B. der US Regierung Zugriff geben durch den Einsatz in div. Militär Rechnern. Es haben viele Leute Zugriff auf den Quellcode solange dieser aber nicht offen ist und man ihn selber bauen kann, kann man nicht sagen ob es auch tatsächlich der Code ist der in Windows zum Einsatz kommt.

 

[KitKat::new()]

@Cool Master Das ist völlig irrlevant im Hinblick auf Audits.