[wilhelmtux-discussion] heise online: Mehr Sicherheit durch Open Source?

robert.ribnitz at unifr.ch robert.ribnitz at unifr.ch
Don Mai 15 19:09:47 CEST 2003 

Diese Meldung aus dem heise online-Newsticker wurde Ihnen
von "robert.ribnitz at unifr.ch" gesandt.
Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert
ist. Sollten Sie Zweifel an der Authentizität des Absenders haben,
ignorieren Sie diese E-Mail bitte.
--------------------------------------------------------------------
 bin ich drüber gestolpert...
--------------------------------------------------------------------
Mehr Sicherheit durch Open Source?



 Auf dem BSI-Kongress[1] in Bonn diskutierten heute Experten darüber, ob
Open Source für mehr IT-Sicherheit sorge. Magnus Harlander von der
Sicherheits-Firma GeNUA[2] bezeichnete die Behauptung "Open Source ist
unsicher" als "Unfug". Andererseits bedeute "Open-Source-Software", dass
sie nicht nur "open for read", sondern auch "open for write" sei. Die
Transparenz von Open-Source sei eine Option für mehr Sicherheit, aber keine
Gewissheit. 

 Harlander wies darauf hin, dass es sichere Software nur durch
"institutionalisierte Review-Prozesse" geben könne: Man müsse Software
während der Produktion und des Roll-Out testen und dokumentieren. Ein
kontrolliertes Change-Management sei ebenfalls nötig. Roman Drahtmüller von
Linux-Distributor SuSe[3] pflichtete Harlander darin bei, meinte jedoch:
"Sie können 25 Leute eine Open-Source-Software prüfen lassen, doch auch sie
können Fehler übersehen."

 Harlander wies darauf hin, dass es auch bei Open-Source-Software
Hintertüren gebe. So habe es Jahre gedauert, eine "gezielt platzierte
Hintertür" in dem weltweit verbreiteten BU-FTP zu finden. Auch bei Open SSL
wurden erst jetzt schwerwiegende Fehler bei einer Prüfung gefunden. Open
Source sei deshalb kein Garant dafür, dass es keine Hintertüren gebe.
Kommerzielle Anbieter von proprietärer Software könnten schließlich ihren
Kunden oder auch einer externen Instanz den Code für Prüfungsverfahren zur
Verfügung stellen. Würden dann Hintertüren auffliegen, hätte dies "ernste
Konsequenzen".

 Drahtmüller erinnerte daran, dass die "Absicht" beim Erstellen von
Hintertüren entscheidend sei: Wurden sie vom Hersteller selbst, von
Programmierern oder von Eindringlinen eingebracht? So brachen etwa Cracker
in ein offenbar nur unzureichend gesichertes Open-Source-Entwicklerportal
ein und hinterließen Hintertüren bei Open SSL, Sendmail und einem
FTP-Demon, die jedoch rasch entdeckt wurden.

 "In den vergangenen drei Jahren wurden sämtliche Hintertüren binnen 18
Stunden mit Hilfe eines MD5-Prüfsummenvergleichs entdeckt", behauptete
Roman Drahtmüller. Sein Unternehmen könne binnen zwei Minuten auf diese
Weise sämtliche SuSe-Versionen prüfen. Ob die Software auf dem
Distributionsweg verändert wurde, könnten Nutzer selbst feststellen: Sie
könnten aus dem Sourcecode dieselben Binär-Pakete herstellen wie der
Hersteller selbst. SuSe unterschreibe zudem jedes Paket kryptografisch.
Auch die Programmierer würden inzwischen auch zunehmend ihre Werke
kryptografisch signieren.

 Der Distributor hat kürzlich seinen Suse Linux Enterprise Server zur
Prüfung bei der BSI-Zertifizierungsstelle angemeldet. Damit wolle er eine
Brücke schlagen zwischen der Behauptung "Wir wissen was drin ist" und der
Tatsache "Wir haben es nicht geschrieben", sagte Drahtmüller. Zum Thema
Haftung will sich Drahtmüller erst im Juli auf dem Linux-Tag[4] in
Karlsruhe äußern. (Christiane Schulzki-Haddouti) / (anw[5]/c't)

URL dieses Artikels:
 http://www.heise.de/newsticker/data/anw-15.05.03-005/

Links in diesem Artikel:
 [1] http://www.heise.de/newsticker/data/anw-14.05.03-001/
 [2] http://www.genua.de
 [3] http://www.suse.de
 [4] http://www.linuxtag.org/2003/de/index.html
 [5] mailto:anw at ct.heise.de

--------------------------------------------------------------------
Copyright 2003 by Heise Zeitschriften Verlag