Warum ist Open Source wichtig?

Was ist Open Source??

Open-Source-Software ist Software, deren Quellcode vom Inhaber des Urheberrechts öffentlich zugänglich gemacht wurde. Unter einer echten Open-Source-Lizenz wird die Software gemeinsam entwickelt, und andere Programmierer können den Code für ihre eigenen Zwecke anzeigen, ändern oder verwenden. Dieses "reine" Open-Source-Modell wird oft als FOSS (freie und Open-Source-Software) bezeichnet..


Eine Variante von Open Source ist "Quelle verfügbar". Dies bedeutet, dass keine Berechtigung zum Ändern oder anderweitigen Verwenden des Codes erteilt wird, sondern dass er zur Einsichtnahme verfügbar ist. Aus Sicherheitsgründen ist dies genauso gut wie echtes Open Source. Wenn ich in diesem Artikel auf „Open Source“ verweise, füge ich Code hinzu, der als „Quelle verfügbar“ bezeichnet wird..

Was ist geschlossene Quelle?

Die meiste Software wurde von kommerziellen Unternehmen geschrieben und entwickelt. Verständlicherweise möchten diese Unternehmen nicht, dass andere ihre harte Arbeit oder Geschäftsgeheimnisse stehlen. Sie verbergen ihren Code daher mithilfe von Verschlüsselung vor neugierigen Blicken, und jeder Versuch, den Code ohne Erlaubnis zu verwenden oder zu ändern, führt zu Klagen oder Schlimmerem.

Also, wo liegt das Problem?

Wie ich bereits sagte, ist das alles durchaus verständlich, aber was die Sicherheit anbelangt, stellt es ein großes Problem dar. Wenn niemand die Details sehen kann, was ein Programm tut, woher wissen wir dann, dass es nichts Bösartiges tut? Im Grunde können wir das nicht, also müssen wir einfach dem betroffenen Unternehmen vertrauen, was wir paranoiden Sicherheitstypen (aus gutem Grund) ablehnen..

Warum ist Open Source die beste Lösung??

Wenn es sich bei Code um Open Source handelt, kann er von einer hierfür qualifizierten Person unabhängig überprüft und auditiert werden, um sicherzustellen, dass keine Hintertüren, Sicherheitslücken oder andere Sicherheitsprobleme vorliegen. Open Source ist keine perfekte Lösung (siehe unten), aber es ist die einzige Möglichkeit zu überprüfen, ob Software genau das tut, was sie tun soll.

Selbst wenn der Code nicht überprüft wurde, ist die Tatsache, dass er frei verfügbar ist, ein starkes Indiz dafür, dass er vertrauenswürdig ist, da es unwahrscheinlich ist, dass Entwickler bösartigen Code einbinden und ihn dann für jeden offen lassen, der ihn entdeckt interessiert sich zu schauen.

Keine perfekte Lösung…

Leider gibt es nur eine begrenzte Anzahl von Personen, die sowohl über die Fähigkeiten als auch die Zeit verfügen, Open-Source-Software zu prüfen (in der Regel kostenlos), was bedeutet, dass die überwiegende Mehrheit der Open-Source-Programme nicht geprüft wurde.

Dieses Problem wird durch die Tatsache verstärkt, dass viele Open-Source-Programme äußerst komplex sind und Tausende und Abertausende von Codezeilen enthalten. Selbst wenn sie geprüft wurden, ist es durchaus möglich, dass die Prüfer ein Problem übersehen haben (insbesondere, wenn bösartiger Code vorliegt) absichtlich versteckt).

Aber…

Open Source garantiert daher nicht, dass ein Programm „sauber“ ist, aber es ist trotzdem die beste Garantie dafür, dass dies der Fall ist (oder sein kann). Die Alternative ist eine geschlossene Quelle, die keinerlei Garantien gibt.

Überprüfen Sie immer Open Source-Programme

Open Source ist also großartig für Sicherheit. Yay! Aber wie können Sie sicher sein, dass das gerade heruntergeladene Open Source-Programm nicht in irgendeiner Weise manipuliert wurde??

Das klingt vielleicht wie paranoides Fantasie-Verschwörungsdenken, aber im Februar 2016 wurde die Website einer der beliebtesten Versionen des Linux-Open-Source-Betriebssystems, Linux Mint, gehackt und eine kompromittierte Version des Betriebssystems für Downloader verfügbar gemacht,

"Hacker haben eine modifizierte Linux Mint-ISO mit einer Hintertür erstellt und es geschafft, unsere Website zu hacken, um darauf zu verweisen."

Die infizierten Linux-ISO-Images installierten das gesamte Betriebssystem mit dem Internet Relay Chat-Backdoor-Tsunami (IRC), mit dem die Angreifer über IRC-Server auf das System der Benutzer zugreifen konnten. Die Bedrohung ist also sehr real.

In diesem Fall hätten Downloader, die sich die Mühe gemacht haben, den MD5-Hash der Datei zu überprüfen (siehe hier, wie das geht), die Täuschung bemerkt, aber solche Hash-Überprüfungen sind kein zuverlässiger Schutz, denn wenn eine Website überhaupt gehackt werden kann, ist es Es ist trivial, die veröffentlichte Prüfsumme durch eine falsche zu ersetzen, die die enthaltene Datei überprüft.

Viel besser ist es für Entwickler, ihre Software digital zu signieren, damit Benutzer den Ursprung einer Datei überprüfen können (die Mint-Entwickler waren in dieser Hinsicht sehr lässig, da ihre Software nicht digital signiert war und sogar die verwendete MD5-Hash-Funktion bekannt ist gebrochen sein!)

Weitere Informationen finden Sie in meinem Artikel über digitale Signaturen - warum und wie Sie sie verwenden sollten. Leider ist das Überprüfen digitaler Signaturen etwas mühsam, aber erforderlich, wenn Sie Wert auf Sicherheit legen.

Ich sollte auch beachten, dass im Idealfall alle Software digital signiert und verifiziert sein sollte, aber da Open Source Code von jedermann frei modifiziert werden kann, ist es einfacher zu manipulieren als Closed Source Code. Es ist daher besonders wichtig, Open Source-Programme zu überprüfen.

Open Source: Fazit

Open Source ist keine perfekte Lösung, bietet aber die bestmögliche (und einzige!) Garantie dafür, dass Software vertrauenswürdig ist. Die Alternative ist eine geschlossene Quelle, die keinerlei Garantie bietet (abgesehen vom blinden Vertrauen in das Unternehmen, das ein Glaube ist, den Tech-Unternehmen nicht verdienen)..

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me