Bislang wurde das letztlich enteignende Konzept geschlossener Quelltexte (closed source) für Software ja auch immer wieder einmal von den Werbern der Software-Industrie damit begründet, dass die unbekannten Details der Implementation eine Hürde für kriminelle Cracker darstellten. Wenn ein Angreifer nicht genau weiß, wie eine Software erstellt wurde, denn — so das werbende Blendwerk — habe er auch größere Probleme, die Fehler dieser Software auszunutzen. Dem wird das Konzept open source gegenüber gestellt, welches den Quelltext der Software nicht nur für jeden Anwender und Programmierer, sondern eben auch für jeden kriminellen Cracker öffnet, woraus eine gewisse Gefahr für die Sicherheit und Integrität von Computersystemen abgeleitet wurde, die open source in ihren Anwendungen verwenden.
Immer wieder konnte ich es kopfschüttelnd erleben, dass diese „Argumentation“ auch bei weniger informierten Menschen ankam und die von den Werbern gewünschten Vorurteile aufkommen ließ. So etwas wurde dann als „Das ist doch gefährlich, dieses Programm zu verwenden, das kann doch jeder Hacker lesen“ ausgedrückt. Die Tatsache, dass aktuell gehaltene open-source-Programme kaum jemals angegriffen werden können, entgeht diesen Menschen völlig. Sie. Wird ja auch nicht von den Werbern herausgestellt.
Nun, dieser potenzielle Vorteil des Konzeptes closed source, er ist dahin. Denn es ist jetzt einer Forschergruppe gelungen, aus den Sicherheits-Patches von Programmen mit geheim gehaltenem Quelltext Rückschlüsse auf die damit behobenen Fehler zu ziehen. Die auf diese Weise aufgedeckten Fehler in der vorherigen Version, die ja oft noch eine gewisse Zeit in vielen betrieblichen Installationen im Einsatze bleibt, können fast immer ausgenutzt werden; entweder, um das Programm schlicht zum Absturz zu bringen, oft aber auch, um fremden Code zur Ausführung zu bringen. Das angewandte Verfahren ist weitgehend automatisierbar. Was heißt, dass aus veröffentlichten Patches vollautomatisch Angriffe gegen die vorherige Version generiert werden können.
Natürlich ist dies im Moment „nur“ eine Machbarkeitsstudie. Aber es ist davon auszugehen, dass das gleiche Verfahren schon bald von Kriminellen angewendet wird, um Computer zu übernehmen und verschiedene Formen des Betruges durchzuführen. Das Konzept closed source hat dann für den Anwender keinen Vorzug mehr, was die Sicherheit seines Computers unter den Bedingungen eines feindseligen Internet betrifft. Es verbleibt lediglich der Vorteil für die Software-Firmen, die über die Geheimhaltung der Quelltexte ein Geschäft zu machen versuchen. Besonders stark betroffen werden größere betriebliche Installationen, bei denen die Adminstratoren immer wieder umfangreiche Tests mit den betrieblichen Anwendungen vornehmen müssen, bevor sie den Patch installieren, da so mancher Patch auch Probleme mit sich bringen kann. Hier liegt die installierte Software oft Wochen hinter den letzten Patches zurück und wird in Zukunft im besonderen Maße angreifbar sein. Doch auch ein privater Anwender kann schnell betroffen sein, da die so aufgespürten Lücken ausgenutzt werden können, bevor der automatische Update des Betriebssystemes erfolgt; zwischen der Veröffentlichung des Patches und dem automatischen Download von einem Update-Service liegen immer einige Stunden.
abhilfe… es wird einfach nichts mehr ge’patch’t *rofl*
oder kommt jetzt das zwangsweise patchen mit zwangweiser verbindung zu den diversen updateservern, sobald ein rechner ans netz geht? (natürlich nur consumer rechner)
etwas ot zu closed source.
ist doch eh alles nur geklaut….
du haste es ja schon mal angesprochen dass das grafische system von den xerox labors kam und wenn ich mich nicht irre hat der steve jobs und konsorten das dann quasi raubkopiert und davon, also vom macintosh, wurde wiederum von bill gates und seinen kumpanen eine raubkopie namens windows angefertigt….. so war das doch oder?
aber das mit dem „raub“ und der kopie ist ja wieder ein ganz anderes thema 😉
Wahrscheinlich wird man bei Microsoft wirklich so vorgehen, wenn diese Art von Angriffen überhand nimmt. Immer, wenn eine Internet-Verbindung aufgebaut wird, und wenn sie besteht, dann regelmäßig wird das System mal kurz nach Hause telefonieren, um nachzuschauen, ob es etwas neues gibt. Klar, dass man über die gleiche Schnittstelle auch beliebige nützliche Schweinereien wie eine automatische Deaktivierung der Software einbauen kann, wenn man die Anwender zum Kauf der nächsten Version nötigen will. Aber ob die Menschen in ihrer Mehrzahl schon dazu bereit sind, sich derart dreist enteignen zu lassen, ist eine andere Frage.
Zu Bio (1):
zu dem „alles nur geklaut“ ein filmtipp:
Die Silicon Valley Story : Filmbeschreibung
Zu Nachtwächter (2):
also ich weiss ja nicht ob andere dazu bereit sind, ich bin es sicherlich nicht!
ich hab hier auf jedem windows system alle sevices abgeschaltet die mit updates zu tun haben und schalte die jedes mal von hand ein wenn ich mir updates von M$ holen muss. aber zum glück gibt es ja auch das offlineupdate von heise 😀
wenn sich solche „dienste“ garnicht mehr abschalten lassen, dann muss wohl oder übel nen packetfilter auf treiberebene, oder noch besser ne firewall in hardware die arbeit übernehmen.
aber ehrlich gesagt tendieren meine überlegungen vermehrt dahin, dem internet wieder den rücken zu kehren. in zeiten der datensammelwut und der totalen überwachung würd ich das sogar nur aus prinzip machen. aber noch ist es nicht soweit….
Zu Bio (4): Diese Dienste werden sich immer irgendwie abschalten lassen, denn sonst verprellt Microsoft die Geschäftskunden. Wenn die Admins einer großen Firma mit vielen (oft alten) betriebswichtigen Anwendungen keine Möglichkeit mehr zum Testen haben, bevor ein Update eingespielt wird, könnte dies das stärkste geschäftliche Argument gegen Microsoft werden.
Denn Ausfälle wegen automatisch eingespielter Updates würden passieren. Ich habe genug Quelltext gesehen, der gezielt (auch undokumentierte) Seiteneffekte der Windows-API verwendet, und diese Software war bei einer Großbank im Einsatz und hat jeden Tag Milliardenbeträge bewegt. Keiner kann sich dort ein Risiko leisten, allein die Zinsverluste könnten erheblich werden. Dementsprechend zurückhaltend war man mit den Updates; und ich habe den Admins dort empfohlen, das gesamte interne Netzwerk vom Internet abzukoppeln und einen Proxy dazwischenzusetzen, der Flash, JavaScript, Java und PDF (wegen JavaScript im Dokument) kategorisch ausfiltert. (Heute müsste man wegen der bekannten Buffer-Overflows in der Bildverarbeitung sogar Grafikdateien filtern.) Die Vorstellung, dass in einem solchen Umfeld etwas „automatisch“ an den laufenden Systemen verändert wird, ist ein Horror für alle Betroffenen. Für MS wäre ein Einbruch bei den Geschäftskunden ein wirklicher Verlust, da gerade dort das eigentliche Geschäft mit lizenzierter Software gemacht wird, während doch inzwischen recht viele Heim-Anwender „dezentrale Sicherheitskopien“ der benutzen Programme haben.
(Was ich dort als Anarchist noch so alles getrieben habe, kann ich leider nicht öffentlich schreiben.)
Aber natürlich wird „das MS-Imperium“ alles tun, um solche Einstellungen vor dem normalen Anwender zu verstecken. (Der kriegt ja generell immer weniger davon zu sehen, was auf seinem Rechner so los ist, aber das in immer bunterer und comic-hafterer Präsentation.) Ein Blick ins MSDN wird aber entsprechende Reg-Schlüssel offenbaren, und die Information wird nicht aufzuhalten sein. Denn die Anzahl der Poweruser, die solche Vorgänge lieber von Hand anstoßen, ist nicht klein.
Ansonsten, auch mir stinkt das Internet langsam. Es ist zwar einerseits eine gute Möglichkeit zum Publizieren, aber es ist in Deutschland inzwsichen richtig gefährlich, sich frei zu äußern. Manchmal denke ich sogar, dass man wieder Netzwerke von „guten“ alten Mailboxen haben sollte, diese aber so, dass eine Bespitzelung eines anderen Users für alle daran Beteiligten und für die trojanerbauenden Polizeibehörden unmöglich ist. (Das ist machbar. Aber nur mit hohem Aufwand. Und es erfordert Leute, die einen Sinn darin sehen und dabei mitmachen.) Na ja, da angesichts des modernen, klickigen Netzes keiner so einen scheinbaren „Rückschritt“ will, sind diese Gedanken eher verschwendet. Ich behelfe mir zurzeit für die (bei mir ständige) mobile Netznutzung mit einem CGI-Proxy auf einem Server, den ich mitnutze.Dieser routet über Tor und filtert nebenbei auch noch so einiges raus, was ich nicht haben will. Aber wenn unsere Behörden sich dieses Servers bemächtigen sollten, denn ist diese Maßnahme schon einmal wirkungslos.
Zu Nachtwächter (5):
zu den geschäftskunden oder banken volle zustimmung.
auch hier zustimmungen. das fängt ja schon bei vista und ganz banal da zb. beim bootmanager an.
da kannst du nur noch per kryptischen komandozeilentool eingreifen.
zu mailboxen kann ich nur soviel sagen dass ich wusste dass es sie gibt. ein akustikkoppler oder gar modem konnte ich mir damals nie leisten. finde aber den gedanken an sowas den du da kurz ausführst interessant 😀