NSA-Skandal: Microsoft zeigt seine Quellcodes

Der Software-Konzern Microsoft will mit einer Transparenz-Offensive auf den aktuellen Überwachungs-Skandal reagieren und dem Verdacht entgegentreten, den Geheimdiensten Hintertüren zu Nutzerdaten bereitzustellen. mehr... Quellcode, Code, Programmierung, Programmiersprache Quellcode, Code, Programmiersprache, Php, Source Code Quellcode, Code, Programmiersprache, Php, Source Code Free for Commercial Use / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Vertreter von Regierungs-Organisationen? Wenn Leute denen ich nicht traue etwas überprüfen fühle ich mich anschließend gleich so viel sicherer. Es wäre ja auch zu einfach gewesen vertrauenswürdigen Leuten Einsicht zu gestatten.
 
@Johnny Cache: Wer sind denn "vertrauenswürdige Leute"?
 
@HeadCrash: In erster Linie mal Hacker. Für Vertrauen braucht man zu allerst mal Sachverstand, über die jeweiligen Hintergründe und Absichten der Personen kann man sowieso meist nur spekulieren.
 
@Johnny Cache: Und wer garantiert, dass diese Hacker auch tatsächlich vertrauenswürdig sind? Menschen mit Sachverstand gibt es auch bei Regierungsorganisationen, nur haben sie da meist leider nicht viel zu sagen.
 
@HeadCrash: Garantieren kann man sowas nie. Aber wer traut schon einer Regierung und deren Mitarbeitern?
 
@Johnny Cache: Da haste recht, auch wenn ich das als eines unserer größten Probleme ansehe. Wenn wir unseren Regierungen nicht mehr trauen (können), ist unsere Rechtsform quasi hinfällig. Aber was wäre die Alternative? Anarchie? Wohl kaum. Ist ein schwieriges Thema, daher finde ich jeden noch so kleinen Schritt richtig und sinnvoll.
 
@Johnny Cache: jo, setzt man den regierungsmenschen halt ne perücke mit fettigen haaren und ne mütze mit "i want some boobs" auf, dann denken alle es wären nerds und alle sind glücklich ;)
 
@HeadCrash: Richtig, unsere Regierungsform ist praktisch zu nichts mehr zu gebrauchen. Nicht per Definition schlecht, aber in der aktuellen Umsetzung genau so schlecht wie eine handelsübliche Diktatur.
 
@HeadCrash:
Anarchie wird sogar von einigen sehr intelligenten Menschen als Alternative gesehen. Wenn man sich mal etwas damit beschäftigt, wird man überrascht sein, dass dieser Begriff in unserer Gesellschaft total falsch verwendet wird, was die Frage aufwirft: Wieso?
Das was du nämlich meinst ist Anomie.
Aber wie auch immer, Anarchie oder Anomie sind ganz sicher nicht die einzigen Alternativen die es gibt. Da gibt es noch viel mehr.
 
@Freudian: Quasi jede Regierungsform wäre in einer perfekten Welt optimal. Aber wir leben nicht in einer perfekten Welt.
 
@dodnet: Stimmt. Aber Regierungsformen, die die schlechtesten Eigenschaften im Menschen fördern, ganze Bevölkerungsteile sogar verblöden, ignorieren oder ausbeuten, sind sicherlich keine Regierungsformen, die eine perfekte Welt anstreben.
 
@HeadCrash: Eine Demokratie die von unten nach oben funktioniert. Leider ist es heuzutage so dass die Politik der Bevölkerung etwas "gutes" Verkaufen will. Die Sprache das Handel alles ist der Manipulaiton ausgelegt. Ein "guter" Politiker kann 10 Sätze sage und nichts sagen ;)
 
@Freudian: Ich behaupte mal das alle Vorhandenenformen im endefekt alle zur Versklavung dienen. Eigentlich sollte es doch so sein das niemandem etwas aufgezwungen werden kann und die freiheiten jedes einzelnen bis ins kleinste gesichert sind. Früher war das die Einzige Aufgabe der "Regierung".
 
@Freudian: Jede Regierungsform ist nur so gut oder schlecht wie die Regierenden. Eine Diktatur, in der der Diktator nur das beste fürs Volk macht, ist besser als eine Demokratie in der die Herrschenden tun und lassen was sie wollen. Leider nur ist der Mensch so, dass er fast immer nur eigennützig ist und das kommt gerade in Diktaturen extrem zum Vorschein. Das Problem ist nicht die Regierungsform, sondern der Mensch/die Gruppe die an der Macht ist. Aber das ist das übliche Problem mit Theorien oder Modellen - sie funktionieren nur in der perfekten Welt. Im Modell ist eine reine Marktwirtschaft oder eine reine Planwirtschaft genauso gut, nur in der Praxis lässt sich keines von beiden umsetzen, weil der Mensch dazwischenfunkt ;)
 
@psyabit: Ja, behaupten kannst du das ruhig.
 
@dodnet: Ganz so einfach ist das nicht. Es fängt nicht bei der Regierung an und hört auch bei dieser auf. Da gibt es noch viele andere Dinge die beachtet werden müssen. Es kommt z.B. immer drauf an wie gut informiert das Volk ist, wie gut es vorsorgt wird oder wie wenig Chancen egoistische Lebensstile haben. Wenn es so wie jetzt passiv gehalten wird, nur mit hirnlosem Kram bombardiert wird, belogen wird und auch gar keine Zeit hat um sich um gesellschaftliche Probleme zu scheren, dann wird da sicherlich nichts passieren.
Wenn du keine Regierung willst, wie gesagt, beschäftige dich mal mit Anarchie, in der Theorie beachtet sie diese Probleme nämlich sehr gut. Ich wage zu behaupten, dass sie aus den bisherigen Gesellschaftsformen sehr gut gelernt hat. Aber man müsste sie eben mal im großen Stil ausprobieren, und das schaffst du in so einer etablierten Gesellschaft wie jetzt kaum, schon alleine weil der Begriff Anarchie in den Köpfen gar nicht das bedeutet was er wirklich ist.
 
@dodnet: Und weil wir nicht in einer perfekten Welt leben, können wir jedes unrecht mit diesen Hinweisfloskel relativieren???
 
@HeadCrash: Ich würde dem CCC den Quellcode geben ;)
 
@HeadCrash: Also ich würde Herr Ströbele hinschicken...seit seinem Treffen mit Snowden gilt er ja als Koryphäe in Sachen Spionage etc. /*Ironie aus
 
@KingBolero: Ja, ich glaube, seit Snowden gibt es eine Menge solche Koryphäen, die eigentlich von Tuten und Blasen keine Ahnung haben, aber trotzdem posaunen wie die großen ;-) Aber Spaß beiseite, ich glaube, dass es fast egal wäre, wer sich den Code anschauen würde, es würde immer jemanden geben, der meckert. Vor allem, wenn der Prüfer die Erwartungshaltung der Meckerer nicht trifft. Wie oft liest man Kommentare wie "der muss doch gekauft sein" oder ähnliches.
 
@HeadCrash: der Rat der Weisen. Dummerweise gibt es den im jetzigen Paradigma noch nicht.
 
@Johnny Cache: DU solltest eh keinem einzigen Menschen vertrauen. Denn spätestens wenn es um Leben und Tod geht, bist auch du jedem egal. ;)
 
@Johnny Cache: Und selbst wenn: Was im Quellcode zu finden ist, muss nicht das sein, das für das fertige Produkt kompiliert wurde. Und ich glaube nicht, dass sie so weit gehen, den Source selbst zu kompilieren um danach die Prüfsummen mit einem gekauften Windows zu vergleichen.
 
@Johnny Cache: Allein der Name "Transparenz-Zentrum"... genau so würde Matt Groening es auch in seinen Zeichentrickserien nennen.
 
Dass man den Quellcode einsehen kann ist das eine, was am Ende kompiliert wird ist das andere.
 
@Johnny Cache: Wie im Text steht, konnten Regierungen auch vorher schon den Quellcode einsehen. Zumindest aus dem Emea-Raum haben das auch viele gemacht. Daneben ist der Quellcode auch schon seit vielen Jahren in Universitäten verfügbar. Allein in Deutschland sind es Dutzende Unis, die den Code haben. Und ja, man kann ihn auch compilieren.
 
@Johnny Cache: auch diverse großkunden und Hochschulen/unis haben dieses recht, nicht nur regierungsorganisationen ;)
 
wer sagt denn, daß die einzusehenden quellcodes original sind? was, wenn microsoft die hintertüren im betriebssystem einfach vor der einsicht aus dem quellcode gelöscht hat? das einzige, was wirklich sinnvoll wäre, wäre das dekompilieren von windows und dann die einsicht in den daraus entstandenen quellcode. leider ist decompilierter quellcode sehr schwer lesbar, ohne kommentare und nix. und den aufwand scheuen die leute.
 
@stereodolby: Ach herrje, als ob die bei MS die Zeit hätten, erst Hintertüren einzubauen, um sie dann in den öffentlich einsehbaren Versionen des Codes wieder auszubauen.
 
@HeadCrash: wäre windows mein OS mit hintertüren, hätte ich die zeit. die meldung, daß die nsa spioniert hat, ist schließlich auch schon länger her. seitdem hatte microsoft VIEL zeit, um was zu faken.
 
@HeadCrash: wer weiß zu was MS gezwungen wird? es unterstellt ja glaub keiner dass MS das von sich aus macht... dank den NSL's müssen die ja "springen" wenn die NSA sagt "hüpf!".
 
@Darkstar85: Das will ich nicht ausschließen, aber auch eine Microsoft hat nur begrenzte Ressourcen. Und Windows muss ja auch weiterentwickelt werden. Der Aufwand, diese Dinge ständig wieder rauszubauen und dabei trotzdem den einsehbaren Code aktuell zu halten, wäre einfach gigantisch. Mal abgesehen davon, dass man ausgehen kann, dass solche Hintertüren ziemlich verflochten sein müssten, man also nicht einfach "nur" Code weglassen kann, sondern den verbleibenden einigermaßen rund machen müsste.
 
@HeadCrash: der aufwand wird sicher nicht so hoch sein dass microsoft nicht weiterentwickeln kann wenn man sich z.b. trojaner anschaut dann patchen die auch "nur" ein paar systemdateien und bleiben teilweise sehr lang unerkannt bis die mal entdeckt werden. und microsoft könnte wenn sie müssen das sicher leicht einbauen... die müssen dafür windows sicher nicht quasi "umschreiben". wie gesagt ich unterstelle microsoft keine böse absicht... ich unterstelle es der NSA ;-)
 
@HeadCrash: Wenn ich Microsoft wäre, dann würde ich immer verschiedene "Varianten" des Quellcodes parat haben. Darunter ein "komplett sauberer" Quellcode und Quellcodes mit entsprechenden Schnittstellen für NSA & Co. Für einen Konzern wie MS dürfte das kein allzu großes Problem sein.
 
@seaman: Es ist auf jeden Fall ein Problem. Bei einer Software der Komplexität eines Windows ist es nicht so einfach "mal eben" verschiedene Versionen zu halten, es sei denn, die Software war von vornherein darauf ausgelegt. Aber Windows zähle ich zu den klassischen "hysterisch" gewachsenen Systemen, denn viele Teile stammen noch aus Zeiten, wo man es "nicht besser wusste".
 
@HeadCrash: Ich stimme Dir zu. Bei der Komplexität wie es ein OS hat, kann man nicht mal eben Teile ein- und ausbauen. Und selbst überprüfen ist schon eine kaum zu bewältigende Aufgabe. Schau Dir doch Linux an. Da gibt es Teile, die die NSA direkt beigesteuert hat, z.B. selinux. Da wird seit Jahren diskutiert, ob es darin eine NSA-Backdoor gibt oder nicht. Trotzdem konnte man das bisher weder widerlegen, noch bestätigen.
 
@stereodolby: Anhand der Checksummen kann man das sehr gut nachvollziehen...
 
@stereodolby: Paranoia.
 
@TurboV6: nein, keine paranoia. nur eine idee von möglichen szenarien. mit einsicht in den quellcode von windows müßte ja auch was über den berühmten _NSAKEY herauskommen. leider werden die regierungsvertreter dem volk wahrscheinlich nix sagen. oder besagter NSAKEY ist im quelltext von windows einfach nicht zu finden.
 
@stereodolby: der muss ja unheimlich berühmt sein....
 
@stereodolby: wie wäre es, wenn man die NSA engagiert um sich in die originalen Quellcodes einzuhacken? huijui.. heute sprühe ich nur so vor witz :p
 
@stereodolby: du verlangst das die vor deinen Augen den einzusehenden Quellcode kompilieren sollen und dir daraus die installationssourcen der Anwendung und der Patches bauen sollen. Dann kannst du die Checksummen bilden und Dateigröße als auch Checksumme mit den real existierenden Gegenstücken vergleichen.
 
@hezekiah: und wer macht das?
 
@stereodolby: vermutlich niemand. zumindest nicht unter diesen restriktiven Einseh-Bedingungen. Wäre der Code frei im Netz (haha) dann würde sich sicherlich jemand finden.
 
@hezekiah: jepp, genau so sehe ich das auch.
 
@stereodolby: Du wirst es nicht glauben, aber das selbe trifft auch auf OSS zu. Wenn du ein Ubuntu-Image lädst, wer garantiert dir, dass diese Binaries auch tatsächlich dem zur Verfügung gestellten Quellcode entspricht?
 
@Knarzi81: ja, bei einer firma, wie canonical, würde es mich zumindest nicht wundern, wenns so wäre. edit: alle firmen, die betriebssysteme entwickeln, stehen wahrscheinlich im kontakt mit geheimdiensten. also, 100%ig trauen kann man heutzutage niemandem mehr.
 
@stereodolby: lol, decompilierter Code ist bei größeren Projekten überhaupt nicht mehr verwendbar. Du machst Dir keine Vorstellung von der Komplexität.
 
@stereodolby: Da kann ich nur zustimmen. Wenn es Hintertüren geben sollte, sind diese sicher so abgekapselt dass sie den Source einfach nicht mitsenden können. Wäre ja schlimm wenn der Windows Kernel so Spagetticode wäre das dies nicht ginge. Dekompilierung kommt nicht annähernd in Frage. Dekompilierung ist evtl. bei Java und .net möglich aber sicher nicht bei C/C++. Da lässt sich ein Hello World schon kaum rekonstruieren. Für Reverse-Engineering Experten lässt sich maximal im Assembler (IDA Pro) was herausfinden, dafür ist jedoch die Code Menge einfach zu groß. Wahrscheinlicher ist dass die NSA eigene Windows Versionen mit Backdoors auf Geräte spielt. Da war ja mal ne News dass die sogar die Firmware von Festplatten ändern bevor diese überhaupt beim Kunde ankommt.
 
@Danielku15: modifizierte festplatten? ich las im netz nur über hardware-malware auf mainboards, die verwanzt wurden, bevor sie beim kunden ankamen.
 
@stereodolby: Hier ist die News dazu: http://www.golem.de/news/spionage-nsa-hackt-sich-in-firmware-und-ins-bios-1312-103618.html
 
@stereodolby: http://www.lawfareblog.com/catalog-of-the-snowden-revelations listet einige der NSA-Aktionen, aber ist definitiv nicht vollständig. Das Programm für die Festplatten-Firmware heißt IRATEMONK: https://www.schneier.com/blog/archives/2014/01/iratemonk_nsa_e.html
 
@stereodolby: die gleiche frage stellt sich bei binaries der oss welt...kaum einer kompiliert alles selbst sondern bezieht es eben aus repos - meist vom anbieter. Grundsätzlich schützt auch quellcodeeinsicht nicht zwangsweise vor ungewollten Funktionen und es ist am ende so oder so ein gewisses maß an vertrauen gegenüber dem anbieter angebracht, mag oder kann man hier kein grundvertrauen aufbringen ist man beim falschen anbieter - Skepsis schließt das nicht aus
 
@stereodolby: Ich halte es für etwas überzogen sich solche Szenarien zu erdenken. Du bist offenbar erst zufrieden, wenn du selbst den "echten" Quellcode sehen könntest. Aber wer wird dir dann glauben?
Man muss mal die Kirche im Dorf lassen und den Schritt respektieren. Das Problem der Verschwörungstheorien ist doch die grenzenlose Phantasie des Menschen.
 
Guter Schritt in die richtige Richtung. Freut mich, dass jetzt doch mal mehr Transparenz geschaffen wird.
 
@HeadCrash: Scheintransperenz :)
 
@-adrian-: Und was wäre dann Deiner Meinung nach echte Transparenz?
 
@HeadCrash: DU kannst dir den Quellcode selbst laden und es selbst compilieren. Ist natuerlich nicht moeglich. Wuerde aber schon sehr helfen es generell Frei zugaenglich zu machen und somit Jedem die Moeglichkeit zu geben es einzusehen und zu compilieren. Viele Augen sehen halt mehr - und vorallem Augen denen man im vornhinein nicht misstraut :)
 
@-adrian-: Okay, nicht machbar, denn der Code ist in erster Linie aus wirtschaftlichen Gründen geschlossen. Und in meinen Augen ist das das gute Recht eines Unternehmens, sein geistiges Eigentum zu schützen, damit andere aus der Einsicht keine Wettbewerbsvorteile ziehen können. Den Ansatz halte ich für deutlich sinnvoller, als diese unsinnigen Softwarepatente. Also was ist die Alternative, wenn man einem Unternehmen nicht die Möglichkeit nehmen will, einen wirtschaftlichen Vorteil beizubehalten, den es sich erarbeitet hat? Wenn ich Microsoft wäre, würde ich meinen Code auch nicht rausgeben und das nicht mal, weil ich Hintertüren verdecken will.
 
@HeadCrash: Ich stimme dem voll zu. Ich bin auch kein verfechter von Open Source. Man koennte genauso gut eine Gruppe von Leuten die das Volk vertreten und es nicht veraten aus mehreren Laendern dem Zugriff darauf gewaehren. DIe haben wahrscheinlich auch mehr Ahnung von dem was sie da ueberhaupt sehen.
 
@-adrian-: Da geb ich Dir voll und ganz recht. Die Frage ist nur, wie stellt man so ein Team auf die Beine? Ich glaube ehrlich gesagt nicht, dass Microsoft eine solche "Delegation" nicht an den Code lassen würde. Ich glaube nur nicht, dass "die Völker" in der Lage wären, eine solche Delegation zu bilden, denn leider hat immer irgendwer was zu scheißen :-/
 
@-adrian-: wem vertraust du? Unis? Regierungen? Nur Privatpersonen? Also kurz, wer müsste denn einsicht haben um deiner Ansicht nach Transparenz zu schaffen ohne dass MS wirtschaftlichen schaden befürchten müsste (wie schnell wären wohl windowsversionen ohne aktivierungszwang und co im umlauf ;) ). Bisher gibt es unis, Regierungen, tüv, Prüfstellen, bekannte hacker und große unternehmen die den code einsehen dürfen/durften...was fehlt noch?
 
@-adrian-: was wäre denn wenn man den Quellcode z.B. freigibt wenn das Produkt aus dem Handel geht? Vermutlich ist aber selbst das immer noch zuviel Preisgabe von internen Abläufen im Programm. Konkurrenten will man mit so einer Aktion ja auch nicht stärken.
 
die frage dabei dabei ist, lässt sich windows auch daraus compillieren? und jedes update müsste auch mit source verfügbar sein. nur wenn man ne horde das durchschauen lässt und sich windows immer mit den quellen selber baut könnte man halbwegs sicher sein... ich möchte die aktion nicht schlecht reden aber es bringts halt nichts...
 
@Darkstar85: Also sollte man es lieber sein lassen? Ich frage mich, warum alles, was in die richtige Richtung geht, gleich schlecht gemacht wird. Mit dieser Einstellung könnte man auch gleich sagen, dass man alles beim alten lässt, denn das bringt ja eh alles nix.
 
@HeadCrash: ich finde den schritt von MS nicht schlecht aber es bringt halt leider absolut garnichts... ein paar deppen werden sich dann denken dass da nichts ist (vllt. gibts ja wirklich keine hintertüren) aber jeder der halbwegs ahnung hat weiß dass man sich sein windows auch aus den sourcen bauen müsste und auch jedes update selber bauen müsste um sicher zu sein...
 
@Darkstar85: Klar. Und ich würde sogar davon ausgehen, dass man es theoretisch auch aus den Quellen bauen könnte, auch wenn ich davon ausgehe, dass da keine komplette Build-Umgebung steht. Aber auf der anderen Seite halten alle Linux für so sicher, weil ja jeder den Code einsehen kann. Aber können wir wirklich sicher sein, dass jedes kleine Linux-Tool, dass man einsetzt, von jemandem mit Sinn und Verstand untersucht und gebaut wurde? Und vor allem: baut sich jeder den Code, den er selbst untersucht hat, auf seiner eigenen sauberen Maschine selbst? Woher weiß ich, dass das Tool X, dass ich mir über den Package Manager runterlade, auch tatsächlich aus dem Code gebaut wurde, den ich aktuell aus dem Repository abgerufen habe? Wie immer gilt: 100% Sicherheit kann es da nicht geben.
 
@HeadCrash: ich denke, wenn da was ist, wird es eher umgekehrt sein. da wird wohl nirgendwo sowas stehen wie NSAKEY sondern eher eine bewusst vernachlässigte stelle, die es der NSA ermöglicht entsprechende lücken zu nutzen. das wäre viel sinnvoller.
 
@HeadCrash: Ich persönlich fühle mich deutlich sicherer wenn die sourcen offen sind. will hier auch nicht sagen windows ist mist weil es closed source ist etc. hab windows auch im einsatz (zocker pc) und mein macbook pro ist auch nicht gerade quelloffen... aber wenn möglich nutze ich open source... z.b. auf meinem router und meinem server. ich hoffe die NSA hat keine hintertüren in betriebssysteme (egal welches) oder programme jeglicher art einbauen lassen.
 
@Darkstar85: irgendwie finde ich es naiv bis niedlich zu denken, dass man durch den einsatz von open source software irgendwie verhindern könnte, dass die daten von dir bekommen wenn sie wollen. wenn die sich in die knotenpunkte von yahoo servern oder was da war einhacken können (so wurde es jedenfalls dargestellt und nicht in die systeme selbst) dann dürfte es für die wohl ne kleinigkeit sein, dein kleines, uninteressantes download serverchen zu überwachen.. denkst du nicht auch?
 
@luckyiam: noch gibt es als sicher geltende verschlüsselungen. gehackt haben die nichts wenn die sich bei knotenpunkte und servern einklinken (was sie ja dank NSL dürfen).
mein serverchen (proliant micro server) hat übrigens aufgaben im lokalem netzwerk und hat nichtmal einen ssh port der aus dem internet erreichbar wäre (indirekt über einen raspberry pi). wenn die dann überwachen wollen dann ab dem router, sofern kein system ne hintertür hat oder per 0-day gehackt wurde. 0-day lücken für linux kann man btw fast nie remote ausführen ;-)
 
@Darkstar85: und wofür open source wenn es eh nicht im netz ist? (versteh mich nicht falsch, mir ist das schon klar warum du das machst, wirklich sinn ergibt es allerdings nicht)
 
@HeadCrash: die visionäre, die in den 80ern und 90ern george orwells vision der welt prophezeiten, wurden ausgelacht, obwohl wir heute wissen, daß es "in die richtige richtung ging". was ist denn heutzutage die richtige richtung? ich möchte nichtmal alles schlecht reden, was geheimdienste so machen. aber totale überwachung und kontrolle einst relativ freier menschen ist für mich nicht die richtige richtung. und wer, bitte, ist so naiv, zu glauben, wenn microsoft hintertüren in windows eingebaut hat, daß diese auch im einzusehenden quellcode drinne stehen? also nur mal, was wäre wenn? zumindest keiner, mit verstand.
 
@stereodolby: Natürlich geht es nicht in die richtige Richtung. Dennoch ist das Thema nicht schwarz oder weiß, sondern wird in der Realität immer grau sein. Eine Gesellschaft kommt nicht ohne Regeln aus, die auch überprüft und durchgesetzt werden. Von daher ist unsere Gewaltenteilung grundsätzlich in meinen Augen der richtige Ansatz. Der Ansatz "jeder ist frei und lebt ohne jegliche Einschränkungen, darf tun und lassen, was er will und wie er es will" funktioniert vielleicht, wenn wenige Menschen zusammenleben und sich ausreichend aus dem Weg gehen können. Aber bei unseren Bevölkerungszahlen wird es immer Konflikte geben, die in irgendeiner Form geregelt werden müssen und das nach Möglichkeit nicht durch Mord und Totschlag. Und eine solche Regelung schließt immer auch einen gewissen Anteil an "Kontrolle" oder "Überwachung" mit ein. Also denke ich, dass wir nicht über 100% Überwachung oder 0% Überwachung sprechen sollten, sondern über das gesunde Maß an Überwachung und über die Regelungen, denen diese Überwachung unterliegt. Modernes Leben ist ohne die Sammlung einer gewissen Menge an Daten nicht machbar. Alles, was mit Kommunikation über öffentliche Netze, elektronischem Zahlungsverkehr oder ähnlichem zu tun hat, erzeugt unweigerlich Daten, die - wenn auch nur vorübergehend - an diversen Stellen gespeichert werden müssen. Regeln müssen wir den Umgang mit diesen Daten, nicht die Frage, ob es diese Daten grundsätzlich geben darf. Und die NSA ist ein klassisches Beispiel dafür, wie eine Idee aus dem Ruder laufen kann und wie zu wenige Personen zu viel Macht besitzen. Jetzt grundsätzlich alles, was die NSA macht oder je gemacht hat, als schlecht zu bezeichnen, wäre zu kurzsichtig.
 
@HeadCrash: ja, ich sehe das ähnlich, wie du. geheimdienste sind nicht per se schlecht und das anzuzweifeln wäre kurzsichtig. aber was die NSA macht, hilft nur den USA, sonst niemandem. hier liegt doch der hase im pfeffer. generalverdacht für alle. jeder ist potentieller verbrecher. ist das richtig?
 
@stereodolby: Es ist richtig, dass wir im Moment quasi alle unter Generalverdacht stehen, aber es ist natürlich nicht "richtig", dass es so ist ;-) Das darf nicht sein und ich hoffe, dass die Serie der Leaks so lange nicht aufhört, bis die Organisationen wirklich mal in die Schranken gewiesen werden. Wird das kommen? Keine Ahnung. Sollte man deswegen alles, was nach Transparenz riecht - auch wenn es vielleicht noch keine 100%ige Lösung ist - gleich niederreden? Ich denke nicht. Denn wenn wir nicht klein anfangen, fangen wir gar nicht an.
 
@Darkstar85: source einsicht schützt nicht vor hintertüren...ungewollte Funktionen lassen sich so gut maskieren dass sie praktisch nicht zu entdecken sind...ich verweise hier mal wieder auf den "underhanded c contest"
 
@0711: Und wieso wird die Quelloffenheit bei Open Source Software als DER Heilsbringer versprochen?
 
@Draco2007: das kann ich dir nicht sagen aber auch im oss Bereich gibt es marketing
 
Das kann dauern den ganzen Quellcode durchzugehen
 
@lesnex: Querlesen ;-)
 
@lesnex: Strg-F "Backdoor for the NSA/BND/GCHQ/Gestapo"
 
@Knerd: so wird es wahrscheinlich enden
 
Ist eigentlich noch niemand auf die Idee gekommen, mal den Netzwerkverkehr eines durchschnittlichen Rechners zu überwachen und nicht selbst getriggerte Seiten zu prüfen?
 
@Knerd: Na, mit was für Vorschlägen kommst Du denn? :-)
 
@Knerd: du kommst ja auf innovative Ideen... sagenhaft!
 
@TurboV6: Danke :P Und hat es denn mal jmd. versucht? Bzw. gibt es Berichte dazu?
 
@Knerd: wenn das so wäre, glaubst Du nicht, dass spätestens die BILD-Zeitung eine Hetze draus gemacht hätte? Allein die ganzen Virenhersteller untersuchen JEDES kleine Byte beim Traffic nach Viren und/oder auffälligen Kommunikationswegen. Da wäre sowas aufgefallen. Für mich sind das Paranoia Behauptungen.
 
@TurboV6: Auch wahr. Ich glaub ich mach das heut Abend mal mit Fiddler und Wireshark, einfach weils geht :D
 
@Knerd: Fiddler für so eine Kommunikation? Ähm.. mit Sicherheit nicht. Wireshark kommste spätestens bei der Verschlüsselung nicht weiter.
 
@TurboV6: der PC hat doch die Zertifikate und passwörter zum ver und entschlüsseln mit drauf, also warum nicht?
 
@shriker: a) klinkt sich Wireshark an den Treiber. Wenn es so einen Hack gibt, dann geht dieser sicher unter den Treiber, sodass Wireshark hier nichts mit bekommt. b) zertifikate für solch eine Kommunikation müssen nicht im KeyCache liegen. Es reicht, wenn die Software den öffentlichen Schlüssel integriert hat und auf der anderen, der MS-Seite der private Key liegt. Wenn das so wäre würdest Du nur kryptischen Krams auf dem Channel lesen können.
 
@TurboV6: Zumindest die URLs sind da.
 
@Knerd: nö. Wenn überhaupt IPs auf dieser Ebene und selbst die können ganz einfach getunnelt sein oder im Nirvana enden. Wenn das alles so wäre, dann würden da ein paar sehr schlaue Köpfe dahinter stecken, die Du mit 10 Minuten Wireshark sicherlich nicht auf die Finger schauen kannst. Sowas wird dann in irgendwelche Pakete geschmuggelt (zB innerhalb einer Windows Update Anfrage o.ö.).....
 
@TurboV6: Hm... ok, hast recht. Und ja, meinte natürlich IPs.
 
@Knerd: wenn ich mal nen raspberry habe, kann ich das gerne einmal tun.
 
@shriker: Ich hab ja da noch das Netbook :D
 
@Knerd: na wenn dann will ich es richtig machen und keien sichtbares gerät dazwischen.
 
@shriker: was soll der Unterschied zwischen Deinem Raspberry und seinem Netbook sein? Korrekt: keiner. Technisch gesehen jedenfalls. Wenn Du hier mit einer "unentdeckbaren" Zwischenstelle (Man-in-the-Middle") attackieren willst, dann brauchst Du einen Traffic-Mirror (zB auf einem Layer 1 Hub). Da ist aber dann auch das Endgerät völlig egal. Was Du hier also als kluge Aussage handelst ist technischer Bullshit.
 
@TurboV6: Ich will da eine bridge zu sniffen reinbauen....
 
@shriker: und was soll daran unsichtbar sein? einzige Möglichkeit ist und bleibt ein Trafficmiror auf Layer 1.
 
@Knerd: Weil sie das ja sicher auch sooooo offensichtlich machen ^^
 
@dodnet: Es wird so oder so Netzwerktraffic sein, den kann ich prüfen. Wieso sollte man denn da nicht die URLs rausfinden können?
 
@Knerd: Vielleicht werden die Daten beim ganz normalen Traffic einfach in die Pakete mit eingeschleust und über irgendwelche gekaperten Router 50 mal um die Welt geschickt um dann bei der NSA zu landen? Zum Teil vermutlich direkt in die Hardware eingebaut (Cisco) - wer soll das bitte finden?
 
@dodnet: Die NSA hat Router verschiedener Hersteller gehackt, das ist bekannt. Ebenso wie viele andere Technologien: BIOS, Festplatten-Firmware, Netzwerkkarten, ... Leider interessiert es kaum jemand was wo wie die angreifen. Dabei gibt es schon recht viel Dokumentation dazu.
 
@Knerd: alle Kommunikationen von Windows nach Hause sind gesichert und verschlüsselt. Ermittle also daraus ein legitimes Paket und ein "böses" Paket: ohne Zugriff auf den Schlüssel nicht möglich.
 
@TurboV6: ist aber auch nicht so dass die übermittelten Daten schon mehrfach von diversen Institutionen unter die lupe genommen werden/wurden.
 
@0711: Eben. Und in dieser Hinsicht dürfte Windows das mit Abstand beliebteste "Opfer" darstellen, da verdammt viele Leute Microsoft wegen angeblicher Backdoors schon seit Jahrzehnten ans Bein pissen wollen, bisher *leider* (harrharr) ohne Erfolg... Das sagt in meinen Augen schon verdammt viel.
 
hmm also für mich ist das auch immer noch fraglich.... Ich meine es gibt sooo viele Windowsuser, hätte schon seit Win 2000 eine NSA-backdoor existiert hätte es doch bestimmt mal jemand am Netzwerktraffic mitbekommen bzw., andersweitig oder?
 
@legalxpuser: genau so schauts aus. Zudem gibts ja einzelne Kernel-Leaks in denen das aufgefallen wäre.
 
@TurboV6: wieso ist es bei cisco auch erst jetzt herausgekommen?
 
@shriker: erklär mir mal, wie ein CISCO Router angreifbar ist, der sich in einem inneren Netz und nicht in der DMZ befindet -> nicht möglich. Es betrifft hier also vor allem Root-Geräte von CISCO. Ob das eine einfache Vulnerability ist oder ein gezielt offener Port ist nicht bewiesen. Aktuell ist nur eine Backdoor bestätigt. Aber auch diese hätte man durch entsprechenden Traffic erkennen können. Windows Systeme werden aber viel eher solchen Sicherheits-Tests des Traffics unterzogen als proprietär Router.
 
@legalxpuser: wer kontroliert schon den Netzwerktraffic oder hat eine zusätzliche firewall ? kaum einer ! noch was zum traffic, nicht jeder wird gleich abgeschnorchelt. schau dir mal an wie viele läute trojner auf ihren pc haben, die merken auch nichts davon
 
@legalxpuser: Geheimdienste heißen nicht umsonst so... die werden wohl kaum eine Backdoor einbauen, die groß und breit durchs Netz plärrt "Hallo hier bin ich!".
 
@dodnet: ja klar! Aber wie gesagt glaube kaum das die die backdoor derart tarnen können das es kein Schweln auf der ganzen Welt(!) in über 14 Jahren mitbekommt (ab Win 2000)... einfach zu unrealistisch...
 
@legalxpuser: siehe o6 re18...
 
@dodnet: nur, dass Windows auf keine Hardware-Integration zurückgreifen kann. Die Möglichkeit bleibt immer aber die Wahrscheinlichkeit hier geht gegen 0. Wenn MS Zugriffe gewährt, dann auf ihre Dienste bei sich. Das ist viel realistischer.
 
@dodnet: Auch wenn die Geheimdienste "Superduperultrageheimdienste" hießen, könnten die immer noch nicht zaubern, das darf man nie aus den Augen verlieren... ;)
 
@DON666: richtig! und Pakete sooo toll zu tarnen das es in über 10 Jahren kein Mensch auf der Welt mitbekommt zählt schon fast unter Zauberei! Außerdem wäre es dann bereits von Snowden geleakt worden...
 
@legalxpuser: Die NSA und der GCHQ belauschen seit werweisswieviel Jahren fast die ganze Welt und keinem ist es auffallen... WOHOOOO... Zauberei? Außerdem, wer sagt denn, dass solche Backdoors laufend Daten senden. Sind ja Backdoors und keine Sendemasten...
 
@dodnet: hmm ja ok ...aber wenn es wirklich so wäre wär es echt schon n starkes Stück...und ein um noch so größerer Skandal wenn es noch ewig so weitergehen würde...
 
@legalxpuser: Wieso braucht es da Netzwerktraffic? Es reicht doch wenn deine Verschlüsselungen im Falle einer Hardwareuntersuchung umgangen werden können. Um deine Mails etc. zu Lesen brauchen sie keine Windowsbackdoor, schließlich haben sie auf quasi alle Server ja direkten Zugriff.
 
Wieso Vertrauen? Wieso Transparenz? Nebelkerze Trift es wohl eher, ob und wann ein "Unberechtigter" auf meinen PC zugreifen kann zeigt der Quellcode nicht, sonst würde es nicht seit Win 95 mehrere Hundert Patches (über alle Versionen) geben die genau das "vereiteln sollen"? Also was soll der Quellcode zeigen, Mhm ...., Nichts, Gar nichts, absolut und überhaupt nichts, wen keine Fachleute ihn eingehen (Dauert Lange) Überprüfen, und dann ist nur bewiesen das der Quellcode keine >Vordertür< hat! Die Überschrift sollte Lauten Microsoft verascht den Rest der Welt! Naja, erfolg scheinen sie ja zu haben!
 
@Kribs: Was ein Unsinn! Lerne mal Programmieren.
 
@Kribs: Stimmt, weil Hintertüren stehen ja nicht im Code, sondern dazwischen, oder wie? Weißt Du, wovon Du sprichst? Wenn es in Windows irgendwelche Prozesse gäbe, die Daten senden würden oder irgendwelche Endpoints, die auf Anfragen hören (was sehr unwahrscheinlich ist, da sie dann noch mit NAT und sonstigen Netzwerkhürden zu kämpfen hätten), dann wären diese Elemente im Code sichtbar. Natürlich nicht unter dem Kommentar // And now Comes the backdoor:, aber für einen Programmierer erkennbar. Die einzige zutreffende Aussage ist, dass eine eingehende Prüfung des Codes extrem lange dauern würde, was 1:1 für jedes größere Softwareprojekt gilt.
 
@Kribs: genau die eingehende Untersuchung wurde u.a. schon von diversen unis durchgeführt....der code war meines wissens auch schon beim tüv...und es durften auch schon diverse bekannte hacker den code reviewen ( http://www.heise.de/security/artikel/Microsofts-Kampf-gegen-Bugs-1429333.html?artikelseite=2 ). Wie schafft man denn deiner Ansicht nach "Transparenz" ohne befürchten zu müssen dass dann "anpasste" Versionen von Windows in umlauf kommen bei denen z.B. jegliche aktivieurng und co wegfallen (sprich wirtschaftlicher schaden für MS entsteht).
 
Ich bin wieder mal erstaunt wie .....? Ist die Prognose das der Quellkode (den hatte ich genannt) eben nicht für Hintertüren verantwortlich ist, sonder eine Vordertür darstellt, wirklich derart Ignorierbar? Ist das Grundgerüst für jede Software, nicht DER Existenz "Schlüssel"? Das in der Vergangenheit "Schwachstellen" entfernt wurden die es einen Angreifer Erlaubt hatten auf Windows PC´s, ohne das der User es bemerkt, zuzugreifen, wird ja nicht bestritten (ODER ?), dafür war aber niemals der Quellcode verantwortlich, sonder niedere Dienste! Aber jetzt wird das Allheilmittel Quellcode veröffentlich, Teilweise, unter Aufsicht, nicht nachprüfbar, und damit sind alle Gerüchte, Vermutungen und Indizien vom Tisch? Nun ich bewahre mir meine Skepsis, im Vertrauen darauf das nichts wirklich aufgeklärt wird, aber viele glauben werden aufgeklärt zu sein. Zugegeben ein klein wenig Neid schwingt da doch mit, ich will auch ne Rosa Brille. Ansonsten nehm ich die Anderen Äußerungen, mit der mir gegebenen Toleranz, zur Kenntnis und wünsche weiterhin schöne Träume.
 
@Kribs: Ähm, was bitte sind "niedere Dienste"? Und natürlich bestreitet niemand, dass es Sicherheitslücken gab, die geschlossen wurden. So etwas nennt man Programmierfehler, die Seiteneffekte wie Buffer Overflows mit sich bringen, die aufgrund der Von-Neumann-Architektur, der heute quasi jeder Rechner folgt, nun mal leider auch dazu führen können, dass Code von außen eingeschleust werden und dann zur Ausführung gebracht werden kann. Das hat allerdings überhaupt gar nichts mit einer Hintertür, also einer bewusst platzierten und meist gut versteckten Zugriffsmöglichkeit zu tun. Auch wenn man - zugegeben - argumentieren könnte, dass auch so eine Schwachstelle bewusst platziert worden sein könnte, was sich allerdings nie beweisen lassen würde.
 
@HeadCrash: >"Ähm, was bitte sind "niedere Dienste"?"< Niedere Dienste z.B. Crypto API ! Aber was rede (Schreib) ich, lassen wir die EU-Kommission ihre Arbeit machen, http://alles-schallundrauch.blogspot.de/2013/11/nsa-verlangte-vom-linux-erfinder-eine.html , aber nein alles nicht war, alles Gelogen (Schmunzel), Hm-m, was solls, hat sowieso keinen Sinn EXperten zu wiedersprechen.
 
@Kribs: Und diese "niederen Dienste" bestehen nicht aus Code?!
 
@HeadCrash: Ich bin jetzt doch mal neugierig, wird das Bezahlt? Allein in dieser News versuchst du 8 Kommentare zu diskreditieren (o.01, o.02, o.03, o.04, o.06, o.08, o.10, o.15) sowie X re:(hab jetzt nicht gezählt)! Mal abgesehen von der Profilierung, was bringt das, ein derartiger Aufwand andere Meinungen zu Topedieren? Was stört dich so, dass Menschen eben nicht sofort denen Glauben schenken, die sie über Jahrzehnte (nachweislich) belogen haben? Wieso ist Vorsicht, gerade im Bezug Microsoft, für dich Irrelevant, ja geradezu ein Sakrileg? Wieso versuchst du ständig eine in den Anfängen befindliche Skepsis, was Sicherheit allgemein betrifft, zu unterminieren? > allein 3 Minuten um meinen Text zu lesen, um meinen link zu lesen und zu (Sinn frei) antworten< ist Rekord verdächtig! Damit beschließe ich diese Sinnfreie Diskussion mit dir, und lasse dir das Letzte Wort.
 
@Kribs: Na, wenn diskutieren für Dich "diskreditieren" oder "torpedieren" ist, kann ich das nicht ändern. Hier geht es um den Austausch von Meinungen und für mich ist der Zweifel an Microsoft überhaupt kein Sakrileg. Ich bin nur kein Freund von Schwarz-Weiß-Malerei oder von zweierlei Maß. Auf der einen Seite wird die Open Source Welt in den höchsten Tönen gelobt, weil die Quellen einsehbar sind, auf der anderen Seite wird die Möglichkeit zur Einsicht in die Quellen bei einem Unternehmen wie Microsoft als Augenwischerei bezeichnet. Und behauptet man dann, dass dieselben Vorwürfe, die man bzgl. Microsoft macht, auch für die Open Source-Welt gelten, wird man als Idiot dargestellt, weil es die Open Source-Vertreter nicht wahr haben wollen. Außerdem ging es in meinem letzten Kommentar schon gar nicht mehr um Microsoft, sondern um grundsätzliche Softwareentwicklungsthemen und um Deine Aussage, dass die Hintertüren nicht im Code stehen, sondern in Modulen wie der Crypto-API, die aber ja auch im Code stehen.
 
Es bewegt sich ja was. Offensichtlich passiert genau das, was ich (und auch andere) eigentlich gefordert haben. Die Anwender müssen so weit wie möglich alles meiden was sie für gefährlich halten. Damit verbunden sind Umsatzeinbrüche auf die Unternehmen wie MS reagieren müssen und werden. Sicher mag das den einen oder anderen User nerven, weil er sich auch selbst Einschränkungen auferlegen muss. Andererseits muss man aber auch sehen, dass man Freihit (egal in welchem Bereich) nicht geschenkt bekommt. Man muss dafür etwas tun. US-IT-Dienstleister fangen jetzt lamgsam an zu leiden. MS besonders. Gerade auch weil WIN 8 im ersten Anlauf ein totaler Flop wurde. Aber auch Cloud- und Mail-Provider dürften ziemlich spucken. Benutzt mal 1 Monat lang kein DropBox, Skydrive, Skype, Google, Facebook, Online-Games etc. Ihr solltet mal sehen wie die Industrie den Geheimdiensten und Regierungen auf die Füsse tritt.
 
Schön und gut, aber das garantiert noch lange nicht, dass dies genau die bzw. alle Quellen sind, aus denen Microsoft's Systeme gebaut werden. Diese Garantie hat man genaugenommen noch nicht einmal bei anderen Open Source Projekten, die Binaries liefern.
 
@Der_da: doch: über Checksummen und Signed Assemblys.
 
@TurboV6: Die Checksum des Binaries hat nichts mit der des Codes zu tun. Und signierte Binaries sagen nur, dass das Binary nach dem Signieren nicht mehr verändert wurde. Wenn man es ganz genau nimmt, hat man Sicherheit nur dann, wenn man sich den Quellcode auf eine saubere Maschine zieht, die voll unter der eigenen Kontrolle steht, den Code dort zu 100% inspiziert und ihn genau dort kompiliert und signiert. Und nun zeig mir einen, der das macht, egal ob Open oder Closed Source :)
 
@HeadCrash: Du vertauschst da was. Checksumme ergeben sich aus einem genauen Build. Stimmen diese nicht überein, wurde der Build oder der Content verändert. Code Signing ist die Vertrauensebene. Das heisst, dass eine signierte DLL nicht ausreicht. Die Hauptanwendung muss sich gegenüber dem OS zB über Manifeste und dessen Herkunft authentifizieren (zB erfolgt dadurch die Quellenanzeige bei der Installation). Nach dem Laden einer authentifizierten Hauptanwendung kann diese ebenfalls nur die DLLs laden, für die sie die entprechenden Signierungen hat. So kannst Du einer Anwendung nichts unterjubeln.
 
@HeadCrash: Checksummen sagen also aus, dass der Inhalt sich nicht verändert hat. Signing heisst, dass die Herkunft bekannt und geprüft ist.
Und ja: ich muss gegenüber meinen Kunden als freier Entwickler meinen Code signieren (allein aus Haftungsgründen) und CheckSummen liefer ich ebenfalls aus, sodass Admins der IT dies in ihren spezifischen Routinen einpflegen können (und bei manchen Unternehmen auch teilweise müssen).

So schütze ich mich gegen Haftungsansprüche Dritter und der Kunde vor Veränderung.
 
@TurboV6: Ich weiß, was Checksums sind und was digitale Signaturen bewirken. Und Du hast ja gerade die "Schwachstelle" beschrieben: Du baust aus Deinem Code eine Assembly, signierst diese von mir aus mit einem Authenticode Zertifikat, damit klar ist, dass die Assembly von Dir kommt und schickst dann die Assembly und die Checksum an Deinen Kunden. Gleichzeitig stellst Du Deinem Kunden Deinen Quellcode zur Verfügung, um mal wieder das Thema von hier aufzugreifen. Der Kunde kann jetzt zwar prüfen, ob die Assembly wirklich von Dir kommt und sicherstellen, dass sie nicht verändert wurde, aber er kann nicht sicherstellen, dass die Assembly tatsächlich aus dem Code erzeugt wurde, den Du ihm geschickt hast. Selbst wenn er ihn kompiliert, wird die Checksum abweichen, weil beim Compile Dinge wie Zeitstempel in die Assemblies eingebettet werden, so dass die Checksum abweichen wird. Alle Schritte, die Du beschreibst, sind richtig und wichtig nur gibt es selbst damit noch Risiken, wenn ich dem Hersteller des Codes nicht vertraue. Das wollte ich damit sagen. :)
 
@HeadCrash: nein, die Checksummen beinhalten KEINE Metadaten! Wäre ja sonst doof.
 
@TurboV6: Wie erzeugst Du denn die Checksum?
 
@HeadCrash: Mir ist keine andere Art als die Generierung der Checksumme über ein UTF-8 Stream bekannt, der unabhängig ist. So macht es auch Microsoft mit ihren Tools und ist es auch in der Java und C/C# Welt üblich. Ich verwende SHA1, das solangsam das in meinen Augen veraltet CRC32 ersetzt.
 
@TurboV6: Also liest Du die kompilierte Assembly vollständig ein, jagst sie durch den SHA1-Algorithmus und gibst die Checksum dann wahrscheinlich als Hex-String aus, oder?
 
@HeadCrash: vereinfacht gesagt.
 
@TurboV6: Und nicht vereinfacht? ;-) Meine Frage zielt nur auf eine Sache ab: liest Du einfach das Kompilat ein oder selektierst Du bestimmte Teile des Kompilats. Wenn Du die komplette exe oder dll einliest, dann mach mal folgendes: erzeuge Deine exe, berechne die Checksum, schmeiße den gesamten Build-Output (also exe und alle Object-Files weg) und bau die exe aus demselben Code nochmal. Berechne die Checksum der neuen exe und die beiden Checksums sollten unterschiedlich sein.
 
@HeadCrash: Natürlich wird jede DLL für sich überprüft. Bei einer Integation von DLLs (zB ILMerge in .NET) in die Exe MUSS die Checksumme anders sein. Checksummen beziehen sich immer auf die vollständigen Inhalte (jedenfalls in der MS Welt).
 
@TurboV6: Jetzt verwirrst Du mich *g* Mein Kommentar ist bezogen auf jede einzelne Assembly. Wenn Du dieselbe Assembly aus demselben Code zweimal kompilierst, werden die Checksums der beiden Ergebnisse unterschiedlich sein, da im PE-Header der Assembly der Zeitstempel der Kompilierung drin steckt.
 
@HeadCrash: Buildsysteme wie TFS erstellen jede Assembly nur ein mal; auch wenn sie mehrfach im Projekt verwendet wird. Visual Studio macht das ebenfalls so. Wie das andere Buildsysteme handhaben weiß ich nicht.
 
@TurboV6: Bezogen auf einen Build-Lauf ja. Aber wir sind schon ganz weit von meinem eigentlichen Kommentar weg. Es ging ja darum, dass ein Kunde, der von mir Quellcode, eine Assembly und eine Checksum erhält, nicht 100% sicherstellen kann, dass die Assembly tatsächlich aus dem mitgelieferten Quellcode erstellt wurde, weil er keine Möglichkeit hat, den Quellcode so zu kompilieren, dass einer eine Assembly mit der exakt gleichen Checksum erhält. Jedenfalls nicht ohne Aufwand. Es gibt ja durchaus Build-Systeme, die so etwas ermöglichen (siehe TOR-Projekt), aber die werden halt nur selten genutzt.
 
@HeadCrash: es gibt im TFS Checksum Dings tatsächlich ne Option "Ignore PE-Header".
 
@TurboV6: Was nutzt Du denn da? Der TFS selbst hat keine Funktion zur Berechnung von Prüfsummen. Vielleicht die Community Extensions?
 
Wenn ich mir ansehe, wie "zuverlässig" und "schnell" Backdoors in OpenSource gefunden wird, habe ich so meine Zweifel, insbesondere mit Blick auf den sehr wahrscheinlich außerordentlichen Umfang der Quellcodes, ob da tatsächlich auch was gefunden wird. Es ist ja auch eher unwahrscheinlich, dass die betreffenden Stellen gut kommentiert im Code liegen. Auch gibt es durchaus recht komplexe Möglichkeiten Backdoors im Code zu verschleiern.
 
@karstenschilder: Nichtsdetotrotz müssten die dann ja irgendwie nach außen kommunizieren, oder? Wurde da bisher irgendwann mal irgendwas in der Richtung seitens irgendeines Superhackers belegt? Nein. Also ist die Wahrscheinlichkeit nicht wirklich hoch, oder da müssen Superhirne am Werk sein, die das so einbauen, dass NIEMAND irgendeinen begründeten Verdacht schöpfen könnte. Die Wahrscheinlichkeit dafür kannste dir selbst ausrechnen.
 
Die Codes sind doch eh wieder Sauber, veröffentlichen die halt von einer Branch ohne NSA tag :)
 
Bla, bla, bla.....was nützt es wenn zum Beispiel in Skype eben doch Möglichkeiten vorhanden sind die es erlauben Chats und Gespräche mit zu lesen und dabei ist mir wurscht ob MS oder die MSA das macht....fakt ist es sind Möglichkeiten drin und Ms entscheidet wer auf die Schnittstellen zugreifen kann und auch wie......also nützt das ewige Gelaber über Transparenz und "Wir machen doch bei sowas nicht mit" absolut nichts. Durch ihre so tollen demokratischen Gesetze und deren Beachtung in den USA werden sie eh zum Schweigen über die genauen Aktivitäten zu denen sie "Verpflichtet" sind zum Schweigen gebracht.
 
@Chris77: du schreibst etwas nebulös...meinst du serverseitige Schnittstellen? MS hat hier schon dementiert. Lokale Schnittstellen bist du selbst verantwortlich wer da alles zugreifen könnte indem du nicht jeden schrott installierst.
 
War da nicht irgendwas, dass die NSA MS Geld dafür gibt, dass Zero Day Lücken ein paar Tage länger offen bleiben? Jedenfalls hatte ich mal in irgendeinem Zusammenhang gelesen, dass die NSA Sicherheitslückeninfos aktiv einkauft.
 
@nexo: von "security Dienstleistern" werden die lücken eingekauft, nicht von MS. Wer entsprechend zahlt bekommt bei manchen auch eine zeit lang "exklusive" Informationen zu den lücken http://www.zdnet.de/88170332/nsa-kaufte-zero-day-luecken-von-franzoesischer-sicherheitsfirma-vupen/
 
Sehr "vertrauenswürdig". Die Quellcodes musste bestimmt Barack Osama vor der Veröffentlichung abnicken. Ab jeder Programmierer der strukturiert vorgeht wird solche Hintertüren geschickt über Includes einbinden die man dann ganz einfach mal aus dem Hauptquellcode entfernt. Somit sind die ganzen Hintertüren nicht mehr ersichtlich!
 
@marcol1979: Gott, wenn man manche Kommentar liest, glaubt man, dass Programmieren gaaaanz simpel ist. Eine Schande, dass so viele Programmierer existieren, die es nicht besser wissen.
 
@marcol1979: wtf was reden Sie? Hintertüren über Includes ist doch schwachsinn. Nur weil es in einem anderen File ist, ist die Hintertür ja nicht gut versteckt. Sie haben offenbar keine Ahnung von soetwas oder? Hintertüren baut man z.b. in einer Image-Libaray ein um gezielt aus dem Netz mit einem Bestimmten Bild einen Bufferoverflow zu erzeugen und Code auszuführen. Das ist keine void Backdoor() Methode :-)
Man kann Hintertüren so entwickeln, dass man selbst im Original-Code nur schwer eine findet.
 
Auch wenn der Quellcode frei von NSA spyware ist müssen die Microsoft Patchs nicht sein.
Die NSA wird mit Milliarden gesponsert da ist es ein leichtes stück Mitarbeiter bei Microsoft einzuschleusen der die Geheimnisse preisgibt.
 
Genau, lassen wir Regierungsmitarbeiter und gleich noch die Geheimdienste mal nen Blick drüber werfen. Die Regierungsfuzzis: ja, sieht gut aus (mangels Kompetenz zu Materie), die Geheimdienstfuzzis: Ach, die Hintertür kannten wir ja noch garnicht.
 
Cool, einfach mal schnell alle Stellen wegeditiert. Das kann ja jeder...
 
@NewsLeser: neee, die bleiben... aber werden geschwärzt :D
 
"dass in unseren Produkten keine Hintertüren eingebaut sind" - der war gut :D
 
meiner meinung nach, hat man immer ein sauberes windows system wenn eine erstinstallation erfolgt.
da es ja keinen sinn ergibt backdors gleich auf einem installationsmedium zu platziern. sehr wahrscheinlicher ist
das abgreifen von userdaten bei updates, patches, IE, antiverentools, backupsoftware oder "harmloser" freeware.
tippe mal auch, dass über die hälfte der privaten anwender keine gekaufte windows lizent auf ihrem rechner hat, was wiederum
bedeutet, dass der kopier-aktivieruns-schutz von MS absichtlich einfach gehalten wird oder sogar von dem behörden(die mit dem unbegrenzten buget)
subventioniert wird. die brauchen keine daten nachjagen, der user gibt sie (un)freiwillig raus.
aber wie gesagt, nur eine weitere unfreiemeinungsäuserungsspekulationsmöglichkeit :-)
 
Wenn es den Firmen wie Microsoft oder Google nicht einmal gestattet war, ihren Kunden mitzuteilen, dass die NSA von denen Daten abzieht, dann sollen wir jetzt glauben, sie stellen uns unveränderten Sourcecode zur Verfügung? Ja, ne, is klar. Danach werde ich grenzenloses in Microsoft, die USA und die NSA haben.
 
Ja der Urschleim wir Streng Geheim einigen wenigen bekannt gemacht ! Super !
Schein ja der richtige Weg.
Scheint !!!!!!!!!
Wer sagt denn das es nicht 2 gibt ?
Einen für die öffendlichkeit und einen der Verkauft wird !
Die Zweifel bleiben bei den nicht Blauäugigen ( Nicht wörtlich nehmen )
 
SUPER! - Jetzt ist alles OK - Ronald Pofalla war als Vertreter der Regierung dort. Er hat bestätigt dass alles gut ist :-)
 
Sorry, aber ich vertraue keine Quellcode, den ich nicht selber nach Generalpasswörtern und Backdoors durchsuchen und mir danach daraus das laufende System kompilieren konnte. Diese Transparenz-Zentren sind reine Augenwischerei.____

Wen will die Politik denn dahinschicken und wie lange soll der brauchen um hunderttausende Zeilen Code zu durchsuchen?____

Dazu dürfte in einem einmal als "frei von offiziellen Backdoors" zertifizierten System nie wieder eine nicht genauso überprüfte Software mit höheren Rechten laufen und sämtliche MS-Updates müssten unterbleiben, da man mit jedem Update eine Backdoor nachschieben kann und somit der ganze Update-Mechanismus eine einzige grosse Backdoor ist.____

Daneben gibt es massenweise Backdoors durch Programmierfehler in Windows. Unternehmen wie Vupen suchen diese, halten sie geheim und verkaufen sie (Womit Security-Updates ohnehin Schwachsinn sind, da sie nichts nützen solange jeder der keinen Plan hat, aber in einen Rechner eindringen will, sich sogar eine Sicherheitslücke "kaufen" kann um sein Vorhaben zu verwirklichen.).____

Sieht also danach aus, dass die Nutzer weiterhin für blöd verkauft werden sollen. Peinlich wer auf sowas reinfällt.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles