Bislang wurde das letztlich enteignende Konzept geschlossener Quelltexte (closed source) für Software ja auch immer wieder einmal von den Werbern der Software-Industrie damit begründet, dass die unbekannten Details der Implementation eine Hürde für kriminelle Cracker darstellten. Wenn ein Angreifer nicht genau weiß, wie eine Software erstellt wurde, denn — so das werbende Blendwerk — habe er auch größere Probleme, die Fehler dieser Software auszunutzen. Dem wird das Konzept open source gegenüber gestellt, welches den Quelltext der Software nicht nur für jeden Anwender und Programmierer, sondern eben auch für jeden kriminellen Cracker öffnet, woraus eine gewisse Gefahr für die Sicherheit und Integrität von Computersystemen abgeleitet wurde, die open source in ihren Anwendungen verwenden.

Immer wieder konnte ich es kopfschüttelnd erleben, dass diese „Argumentation“ auch bei weniger informierten Menschen ankam und die von den Werbern gewünschten Vorurteile aufkommen ließ. So etwas wurde dann als „Das ist doch gefährlich, dieses Programm zu verwenden, das kann doch jeder Hacker lesen“ ausgedrückt. Die Tatsache, dass aktuell gehaltene open-source-Programme kaum jemals angegriffen werden können, entgeht diesen Menschen völlig. Sie. Wird ja auch nicht von den Werbern herausgestellt.

Nun, dieser potenzielle Vorteil des Konzeptes closed source, er ist dahin. Denn es ist jetzt einer Forschergruppe gelungen, aus den Sicherheits-Patches von Programmen mit geheim gehaltenem Quelltext Rückschlüsse auf die damit behobenen Fehler zu ziehen. Die auf diese Weise aufgedeckten Fehler in der vorherigen Version, die ja oft noch eine gewisse Zeit in vielen betrieblichen Installationen im Einsatze bleibt, können fast immer ausgenutzt werden; entweder, um das Programm schlicht zum Absturz zu bringen, oft aber auch, um fremden Code zur Ausführung zu bringen. Das angewandte Verfahren ist weitgehend automatisierbar. Was heißt, dass aus veröffentlichten Patches vollautomatisch Angriffe gegen die vorherige Version generiert werden können.

Natürlich ist dies im Moment „nur“ eine Machbarkeitsstudie. Aber es ist davon auszugehen, dass das gleiche Verfahren schon bald von Kriminellen angewendet wird, um Computer zu übernehmen und verschiedene Formen des Betruges durchzuführen. Das Konzept closed source hat dann für den Anwender keinen Vorzug mehr, was die Sicherheit seines Computers unter den Bedingungen eines feindseligen Internet betrifft. Es verbleibt lediglich der Vorteil für die Software-Firmen, die über die Geheimhaltung der Quelltexte ein Geschäft zu machen versuchen. Besonders stark betroffen werden größere betriebliche Installationen, bei denen die Adminstratoren immer wieder umfangreiche Tests mit den betrieblichen Anwendungen vornehmen müssen, bevor sie den Patch installieren, da so mancher Patch auch Probleme mit sich bringen kann. Hier liegt die installierte Software oft Wochen hinter den letzten Patches zurück und wird in Zukunft im besonderen Maße angreifbar sein. Doch auch ein privater Anwender kann schnell betroffen sein, da die so aufgespürten Lücken ausgenutzt werden können, bevor der automatische Update des Betriebssystemes erfolgt; zwischen der Veröffentlichung des Patches und dem automatischen Download von einem Update-Service liegen immer einige Stunden.

Advertisements