[wilhelmtux-discussion] Paper fuer EDSB

Manfred Morgner manfred.morgner at gmx.net
Mit Aug 28 02:56:57 CEST 2002


Hallo,

vielen Dank für Deine Kommentare. Das Problem ist halt oft, dass einige 
Ausdrücke zwar korrekt sind, aber misverständlich wenn man sie schreibt und 
nicht spricht, sprich - anders gelesen als geschrieben werden. Drum möchte 
ich einige wenige Kommentare meinerseits kommentieren weil ich eben tw. auch 
unklar oder zu kurz formuliert habe.

[snip]
> > darf er anfangen Fehler zu korrigieren. Es sollte wohl offensichtlich
> > sein, (Kommentar: Heikle Behauptung! Selbst wenn sie wahr ist, ist das
> > kritisch.)
>
> Warum?
> 1. Hab ich nicht erwaehnt wer das so macht (sprich falls sie nicht stimmen
>    wuerde, was ja sein kann, stoert sich niemand konkretes daran)
> 2. Wenn wir betrachten was grosse Firmen fuer Geschuetz gegen OS auffahren
>    finde ich duerfen wir auch unangenehme Warheiten benutzen

Ich meine, dass die Behauptung beim "Publikum" schlecht ankommt, nicht dass 
es juristisch bedenklich ist. Ausserdem meine ich, dass es besser ist, nicht 
"Aug um Aug" vorzugehen. Es sind auch ethische Werte, die freie Software von 
der "dunklen Seite"  unterscheiden. Oft muss ich mir auch auf die Lippen 
beissen, aber es kommt immer gut, letztlich freundlich zu sein. Darum habe 
ich Dir auch den Link zu der Rede über "Freie Software in der New Economy" 
genannt. Dort findet man auch gewisse Informationen über ähnlich 
Zusammenhänge, die aber nicht so aggresiv klingen.

Meine Meinung ist (ich habe Jahre gebraucht um das zu verinnerlichen), dass 
es bei öffentlichen Auftritten immer besser ist, FUER etwas zu sein als GEGEN 
etwas.  GEGEN etwas ist jede Stammtischpolitiker. FUER etwas sind Leute, die 
eine Botschaft haben.

> Remote root compromise in OpenSSH (hat nicht nur OpenBSD betroffen)
> siehe: http://www.openssh.org/txt/preauth.adv

Aha - den Bug kenne ich, war mir aber nicht sicher, ob er OpenBSD auch 
betroffen hat. Es scheint mir wichtig, bei "ein Problem" das "ein" als Zahl 
zu unterstreichen, darum die Erweiterung "ein einziges..", oder auch 
"gerademal ein ..". Laien könnten sonst Schwierigkeiten haben, den Satz 
sofort zu verstehen.

> > und der bis heute noch auf über 500-tausend Servern aktiv ist.
>
> na so viele sinds wohl nicht mehr. Siehe
> http://www.caida.org/analysis/security/code-red/
> (hab ich noch als Referenz ins paper genommen)

Prima! Meine letzte Info (von vor ca. 6 Monaten) war > 500.000 - scheint als 
hätten die penetranten Zeitungsartikel in den letzten Monaten doch etwas 
bewirkt. Das finde ich beruhigend.

> > ----
> > OpenSource ist in keiner Form eine Garantie für Sicherheit und
> > Datenschutz. Es gibt aber viele Punkte die diese Aspekte fördern.
> >
> > Freie Software ist keine Garantie für Sicherheit und Datenschutz. Es gibt
> > aber Faktoren, durch die freie Software sicherer und stabiler wird als
> > Closed-Source-Software.
>
> Nein, sie KANN sicherer sein, sie kann aber genausogut unsicherer und
> unstabiler als viele kommerzielle Produkte sein (z.B. BIND)

Für mich als "Abgesandter" des grossen Nordkantons klingt die erste 
Formulierung inhaltlich etwa so:

"OpenSource-Software ist ziemlich sicher unsicher. Aber wenn man unbedingt 
will, kann man etwas dagegen unternehmen"

Hier kommt ein impliziter Aspekt des Verständnisses der Problematik bei Laien 
zum Tragen, der durch Firmen wie die Fensterfirma gesäht wurde: Die 
Unwilligkeit zu wählen. Wählen ist anstrengend. "Ohne Rühren Löffelfertig" 
ist cool. Die Aussage aus der Originalformulierung impliziert: Wenn ich es 
sicher haben will, muss ich viel arbeiten oder viel bezahlen. Und genau das 
sagt der Fensterfabrikant auch: Wenn Sie es sicher haben wollen, geben Sie 
und mehr Geld, dann kriegen wir es auch hin.

Wir können das Publikum nicht erziehen, aber wir können damit rechnen, das 
die, die nach uns kommen u.U. gelernt haben, zu wählen. Also ist es richtig, 
den Fakt, dass Freie Software nicht _automatisch_ sicherer, ist nicht 
überschwänglich zu betonen.

Freie Software ist in der Regel sicherer, OpenBSD ist von Natur aus sicher, 
viele andere (wie mein geliebtes Debian GNU/Linux) sind es auch in weit 
höherem Masse als die Systeme der anderen Seite. Man kann also ruhig 
behaupten, dass freie Software naturgegeben sicherer ist als unfreie 
Software. Dies entspricht einer Ausdrucksform, die das aktuelle Publikum 
diesen Punkt korrekt einordnen lässt.

> Sorry aber Mr. Gibson erzählt sehr viel wenn der Tag lang ist und vieles
> davon ist falsch. Ich glaube nicht das der Link angebracht ist (auch wenn
> die einzelne Story interessant waere).

Ich kann das nicht nachvollziehen, Ich habe lediglich die Beiträge über die 
Angriffe, die Zusammenhänge und die Kommunikation mit MS gelesen. Hier wird 
(ohne zu fachlich zu werden) klar, dass MS keinen Hauch einer Vorstellung von 
Sicherheit hat. Dies auf eine fundierte, nachvollziehbare und juristisch 
einwandfreie Art. Ich liebe diese Artikel, weil sie in Worte fasst, was ich 
(als Windows-System-Entwickler) vorher nur fühlen konnte. Meiner Meinung nach 
wäre ein direkter Link auf die "Strong tale.."-Story auch für Laien nützlich.

Ob Herr Gibson in seinen theoretischen Betrachtungen oder im technischen 
Detail immer 100% RFC-konform ist, ist dabei nicht so wichtig. Am 
geschilderte Sachbestand ändert sich dadurch nichts. Zumindest ist es solide 
genug um nicht aus dem Netz geklagt zu werden.


Wir müssen bei Gesprächen mit gesellschaftlichen Vertretern beachten, dass 
diese in aller Regel keinen Schimmer von den Zusammenhängen und Rollen haben. 
In der freien Welt sind die verrücktesten Gerüchte im Umlauf. Beispielsweise, 
dass man durch die Nutzung freier Software seine Unfähigkeit unter Beweis 
stellt, selbst etwas vernünftiges zu programmieren, oder dass freie Software 
infolge oft fehlendem kommerziellem Support wirtschaftlich auf Dauer 
riskanter ist als kommerzielle Software uswusf.

Darum müssen wir darauf achten, die Botschaft zu übertragen und (das ist eben 
schwierig) nach Möglichkeit die wesentlichen Punkte klar und verständlich. 
Die technischen Details sind dafür nicht so wichtig. Wichtig allerdings ist 
es, sie dennoch zu kennen und bei Nachfrage in verständlicher Form darbieten 
zu können.

Für Leute wie uns ist das eine Hürde - da braucht man sich nicht zu schämen. 
Firmen zahlen horrende Gehälter an Leute, die den Kunden Produkte verkaufen 
und eben extra keine Ahnung haben was das für Produkte sind. Diese Leute sind 
so erfolgreich wie sie sind, weil die meisten Kunden eben keine Details 
wissen wollen. Sie wollen wissen, ob das Produkt ihnen helfen kann, nicht wie 
es das im Detail macht.

Eins kannst Du mir jedenfalls glauben: Ich habe genau damit die allergrössten 
Schwierigkeiten, aber wenn es mir gelungen ist, war ich immer extrem 
erfolgreich. Wenn hinter der guten Show auch noch Fachwissen steckt, kriegst 
Du die Kunden nicht mehr los.

Darum ist es 

(1) Richtig, dass Du den Text hier revidieren lässt
(2) Wichtig, dass _alle_ hier ihre Meinung dazu sagen

denn ich bin nur ein alter Mann, der versucht, aus seinen Erlebnissen die 
richtigen Schlüsse zu ziehen und Ratschläge zu geben. Und ich bin, wie früher 
bereits erwähnt, ununterbrochen am Lernen - besonders was meine 
kommunikativen Fähigkeiten angeht. Kurz: Trotz meiner Kommentare wäre ich 
möglicher Weise nicht in der Lage, einen solchen Artikel vion NULL an zu 
verfassen.

Darum aus ganzem Herzen meinen Dank für die viele Arbeit, die Du in dieses 
Dokument steckst.

Viele Grüsse,
Manfred.

PS: Ich versuche, Sender, Sendetermin und Titel der NSA-Sendung zu ermitteln.