Edward Snowden: Verzicht auf Microsoft aus Angst vor Hintertüren

Geht es nach Edward Snowden, wären seine Enthüllungen ohne die Existenz freier Software nicht möglich gewesen. Erst ihre Transparenz habe ihm das Vertrauen gegeben, sich nicht durch eventuelle Hintertüren in kommerzieller Software mit geschlossenem Code ... mehr... Edward Snowden, Whistleblower, Interview, snowden, Ndr Bildquelle: NDR/ARD Edward Snowden, Whistleblower, Interview, snowden, Ndr Edward Snowden, Whistleblower, Interview, snowden, Ndr NDR/ARD

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
So lange man sich aber eben auch bei freier Software auf Kompilate verlässt, die von irgendwem erstellt wurden, ist es gehüpft wie gesprungen. Denn wer kann mir nun versichern, dass dieses Kompilat das ich dort runterlade auch aus dem vorliegenden Quellcode erstellt wurde? Siehe Linux Mint und die einkompilierte Schadsoftware. Also muss ich dann auch den Code prüfen und selbst ein Kompilat erstellen. Aber selbst dann bin ich noch nicht sicher, denn die Wahrscheinlichkeit, dass ich zu Blöd bin, eine gut aber auch weniger gut getarnte Backdoor zu finden, ist gar nicht mal so gering.
 
@Knarzi81: Vor allem müsste JEDER Nutzer, der die Sicherheit der offenen Software nutzen will, dem kompletten Code lesen und vor allem verstehen. Code der durch hunderte (wenn nicht tausende) Entwickler über viele Jahre hinweg entstand.

Bei jedem neuen Feature/Patch müsste man dann wieder sämtliche geänderten Zeilen durchgehen.

Es sollte klar sein, dass dieses Vorgehen praktisch absolut unmöglich ist. Also muss der normale Anwender den Entwicklern und allen anderen Beteiligten im ganzen Prozess vertrauen.
Hier stellt sich mir allerdings die Frage wo sich dieses Vertrauen von dem Vertrauen, den ich an einen Hersteller von Closed Source Software haben muss, unterscheidet.

Für mich persönlich existiert da kein nennenswerter Unterschied.
Ob jetzt eine Apache Foundation oder Microsoft vertrauenswürdiger ist mag ich nicht beurteilen. Das muss jeder selbst für sich entscheiden.
 
@Draco2007: Dieses Argument ist ziemlich problematisch, wenn nicht sogar unehrlich. Ich will dieses Urteil aber zurückstellen, bis du Gelgenheit hast, die Kritik zu beantworten.

Diese Argument beruht auf einem Vertrauensbegriff, der sonst nirgendwo zur Anwendung kommt.

- Wir würden nicht behaupten, dass eine Wahl nicht vertrauenswürdig ist, weil nicht jeder Bürger, jedes Wahlbüro beobachtet hat (der Bürger kann sich ja eh nicht aufteilen), das Kriterium hier ist die Transparenz.
Auch wenn, ich nicht jedes Wahlbüro beobachten kann, kann ich einer Wahl vertrauen, die transparent ist. Apache Foundation ist (übertragen) die Wahl, die Beobachter zulässt und Microsoft ist die Wahl, bei der hinter von wenigen ausgewählten Mitarbeitern hinter verschlossenen Türen gezählt wird. Wir würden nicht sagen, dass hier kein nennenswerter Unterschied besteht.

- Wir behaupten nicht, dass alle Hilfsorganisationen vertrauensunwürdig sind, weil nicht >jeder< deren Buchhaltung studiert hat, es hätte auch gar nicht jeder die nötigen Buchhaltungskenntnisse. Bevor ich Spende, kann ich mich aber darüber informieren, welche Organisation ihre Mittelverwendung offen legt und ob jemand anderes diese bereits untersucht hat.
Apache Foundation wäre hier (übertragen) die Organisation, die alle Bücher, jeden Kontoauszug, jede Rechnung offen legt, Microsoft wäre hier die Organisation, die das Geld nimmt und dir einen Werbefilm übber das Ergebnis zeigt, deren Darsteller niemand befragen darf. Wir würden nicht sagen, dass hier kein nennenswerter Unterschied besteht.

In einem transparenten Prozess musst du gerade NICHT jedem Teilnehmer vertrauen. Bei Closed Source Software musst du das, weil nur die Entwickler und die durch sie ausgewählten den Source Code sehen. Wenn ein nicht banaler oder gar kontroverser Patch auf die Kernel-Mailing-Liste kommt, dann kann ich die Diskussion darüber sehen. Ich muss dabei erstmal keinem vertrauen, ich könnte ihn selber lesen. Es reicht aber auch, wenn ich von 5 Diskussionsteilnehmer einem vertraue, dass er den Patch gelesen hat und etwas sagen würde, wenn er Malware wäre, selbst wenn alle anderen 4 "Illuminaten" (bildhaft) sind. Ich kann mich auch auf ein statistisches Argument verlassen, dass wenigstens einer den öffentlichen Patch liest, der kein "Illuminat" ist.

Vertrauen auf einer gesellschaftlichen Ebene wird immer durch Transparenz geschaffen. Transparenz kann es nur mit freier Software geben, Windows kann niemals transparent werden, es sei denn es wird mindestens Open Source Software. Niemand hat gesagt, dass dir das Vertrauen auf einem Silbertablett geliefert werden muss. Wenn du einem Prozess, der vollständig transparent ist, nicht vertraust, kannst du selbst aktiv werden und eine Spendenorganisation starten um einen Audit der freien Software durch jene zu veranlassen, denen du vertraust oder deinen eigenen Arbeitsausfall, falls du den Audit selber durchführen möchtest. Aber das ist niemals äquivalent zu einem komplett undurchsichtigen Prozess. Dieser kann tatsächlich niemals vertrauenswürdig werden, selbst wenn man sich darum bemüht dieses Vertrauen herzustellen.
 
@dpazra: Wie ich weiter unten schon ausgeführt habe kann man die Offenheit der OSS-Community meiner Meinung nach auch durchaus problematisch sehen. (Stichwort "Doppelagent")
Da bringt auch Transparenz nichts.

Ja du kannst die Diskussion lesen, ja du kannst einem einzelnen Entwickler tief im Prozess vertrauen. Aber welcher 0815 User kann dies?

Für den 0815 Benutzer ist die Transparenz irrelevant, da er sie nicht nutzen kann.
Um die Software zu benutzen muss er gezwungenermaßen dem Hersteller der Software vertrauen. Egal ob dies eine transparente OSS-Community ist oder eine intransparente Microsoft.

Bei Wahlen würde ich kleinere Mogelleien absolut nicht ausschließen wollen, hier habe ich also kein 100%iges Vertrauen. Dennoch werden die Wahlen überwacht, was eine gewisse Sicherheit aufkommen lässt.
Aber selbst wenn hier betrogen wird, werden die Auswirkungen minimal sein, da größere Betrügerreien auffallen würden.

Gleiches bei den Hilfsorganisationen. Auch hier nehme ich an, dass nicht alles 100%ig korrekt läuft. Auch hier wird überwacht (Steuerprüfung, Finanzämter, etc).
Aber auch hier sind die Auswirkungen "kleinerer" Auffälligkeiten nicht so schlimm.

Nun nehmen wir Software. Software, sowas wie ein Betriebssystem, aber auch "kleinere" Sachen, wie Mail-Programme, gehen vom Umfang und der Komplexität ganz schnell über den Verstand eines einzelnen Menschen hinaus.
Kein einzelner Mensch wird jemals sagen können, ob in einem beliebigen Linux Derivat KEINE Backdoor ist. Auch ein Audit kann dies nicht vollständig sichern.

Das Problem ist hier nicht die Transparenz sondern die Auswirkung eines einzigen übersehnen Fehlers. Eine einzige nicht gefundene Backdoor komprimitiert das gesamte System.
Im Vergleich ist eine Wahl nicht gleich völlig falsch, wenn eine Wahlstimme manipuliert wurde.
Und eine Hilfsorganisation ist nicht komplett abzulehnen, wenn hier mal ein Euro (von mir aus auch absichtlich) falsch verwendet wurde.

Deshalb bringt es meiner Meinung nach nicht viel, dass der Prozess transparent ist, da bei der kleinsten Kompromitierung sämtliche Sicherheit der Software dahin ist. Also muss ich als einfacher Anwender, dem Softwarehersteller vertrauen. Und in dem Maße spielt es eben meiner Meinung nach keine Rolle ob das eine OSS-Bude oder ein CSS-Bude ist. Ein einzelner kompromitierter Baustein lässt das ganze Haus zusammenbrechen. Und ich kann nicht einfach 1-2 Leuten vertrauen, diesen Baustein unter Millionen zu finden.

Und du als engagierter Anwender bist noch bereit dich zumindest über die Entwicklung zu informieren. Aber bei wieviel % deiner eingesetzten Software machst du das? Machst du das beispielweise auch beim Treiber deiner Netzwerkkarte?

Langer Rede kurzer Sinn...dadurch, dass die kleinste Backdoor in einer Software die komplette Software kompromitiert, spielt meiner Meinung nach die Transparenz der Entwicklung keine (kaum eine) Rolle, dafür das Vertrauen umso mehr.
 
@Draco2007: Das mit dem Doppelagent sehe ich erstmal überhaupt nicht. Ein Commit von einem "Niemand" wird besonders kritisch beäugt werden, natürlich kann er anfangen sich Vertrauen zu erarbeiten, aber genauso kann sich der Doppelagent bei Microsoft auf eine Stelle als Entwickler bewerben.

Ich beginne mal mit dem grundsätzlichen.
Transparenz ist nicht irrelevant. Du versuchst diesen Vorteil für Softwareentwicklung kleinzureden, worauf ich gleich eingehen werde, aber wegzureden ist er nicht. Ein transparenter Prozess ist inhärent vertrauenswürdiger als ein nichttransparenter, ich sehe nicht, wie hier ein Gegenargument gefunden werden könnte.
Oder andersherum: Es ist für geschlossene Software nicht möglich einen Vertrauenspunkt zu erlangen, der nicht durch freie Software erlangt werden könnte, andersherum aber schon. Wenn du sagst, der Einstellungsprozess bei Microsoft schreckt z.B. Doppelagenten ab, du kannst auch ein freies Softwareprojekt starten, dass jeden Commit durch einen hauptberuflichen Entwickler absegnen lässt (Patches für den Linux Kernel gehen übrigens immer durch eine mehrstufige Absegnung, jede einzelne Zeile Code).

Der Schwerpunkt deiner Antwort scheint deine Einschätzung der Auswirkungen von Kleinstfehlern. Erstens sollte man diese nicht überschätzen. Wenn kleine Fehler erlauben das gesamte System zu kompromittieren, dann wird dies publik, allerdings werden jedes Jahr tausende Bugs auf der Welt gefixt, die irgendwo schon sicherheitsrelevante Bereiche betreffen, ohne das tatsächlich ein Exploit gezeigt werden könnte.

Vor allem ist die Frage nach kleinen Fehlern aber weniger eine Frage von Vertrauen daran, dass man nicht bewusst hintergangen wird, sondern eine Frage von Vertrauen in die Qualität. Hier siegt OpenSource Software (die meistens freie Software ist) sowieso, zumindest bei jeder Untersuchung, die ich je über dieses Thema gelesen habe.
 
@Knarzi81: Korrekt!
Daran erkennt man auch dumme Menschen, die folgendes antworten wenn man fragt, warum sie Linux, Firefox etc. nutzen: "Naja, ist OpenSource und denen vertraue ich einfach mehr." WTF?! *facepalm*
 
@Knarzi81: Eben. Hat er den gesamten Quellcode sämtlicher Programme die er verwendet hat vorher durchgeguckt um bei der freien Software sicher zu sein?! Worum es geht ist: er vertraut Open Source Entwicklern mehr als Closed Source Entwicklern.
 
@Knarzi81: Das Problem, welches du ansprichst, ist real. Eine unabhängige Prüfung von Binaries (Kompilaten), ist möglich, sobald das Kompilieren reproduzierbar ist. Dieses Problem wird von dem ReproducibleBuilds-Projekt angegangen ( https://wiki.debian.org/ReproducibleBuilds ). Wenn ein Paket von diesem Projekt abgedeckt wird, ist eine unabhängige Prüfung, ob die Binaries dem Quellcode entsprechen, mit geringem Aufwand möglich (automatisierte Builds und Vergleich der entstehenden Binaries), was ich für den effektivsten Ansatz zur Lösung dieses Vertrauensproblems halte.
 
Software kann man leicht ersetzten, aber wie sieht es mit Hardware Hintertüren? Man kann sicher davon ausgehen, dass CPUs, Router/Modems usw. auch eingebaute Hintertüren haben.
 
@klink: Oder Netzwerkkabel. Ja selbst die Luft fürs WLAN ist wenig vertrauenswürdig. Chemtrails sind das eine, aber wer garantiert uns, dass nicht durch z.B. Kohlekraftwerke kleine Nanobots mit in die Luft gepustet werden, die WLAN-Signale ausspionieren.
 
@iPeople: das Thema Hardware Backdoors wurde auch schon bei div. Cccc besprochen und ist kein Aluhut Thema.
 
@ThreeM: Was theoretisch möglich ist, ist das Eine. Was man beweisen kann, etwas anderes. Kompromittierte Router sind sicherlich eine Gefahr, da einfach realisierbar, aber z.B. eine CPU oder eine GPU, da ist doch etwas weit hergeholt.
 
@iPeople: Weil? Grade hier ist die Chance einer Entdeckung sehr sehr gering.
 
@iPeople: sorry Mobil kann ich nicht editieren. Es GIBT bereits nachgewiesene HW Backdoors. eine Suche bei Google "Hardware Backdoor found" zeigt dies zumindest. Und dabei meine ich nicht nur Fortinet.
 
@ThreeM: Wenn die Nachweisbar sind, ist das doch gut. Aber offfenbar hat man bei Intel, AMD und wie die vielfach genutzten Hardwarekomponenten alle heißen, das eben noch nicht nachgewiesen. Darum ging es mir. Jeder hier tut immer so, als ob alles, was man zu Hause zu stehen hat, nur dazu dient, den Eigentümer auszuspionieren. Dieses Gejammer fern jeder Realität ist einfach lächerlich.
 
@iPeople: "Jeder hier tut immer so, als ob alles, was man zu Hause zu stehen hat, nur dazu dient, den Eigentümer auszuspionieren. Dieses Gejammer fern jeder Realität ist einfach lächerlich."

Hier gebe ich dir allerdings auch recht.
 
@iPeople: Keiner tut so oder stellt das als Fakt dar. Es wird auf die Möglichkeit hingewiesen. Das dies bereits getan wird kommt noch hinzu. Eigentlich nicht mehr Diskussionswüdig.
 
@iPeople: Ist vielleicht auch nicht ganz so einfach einen mit 14nm gefertigten AES Chip zu untersuchen, oder machst du das mal eben in der Garage mit deinem Mikroskop? Da hat sogar das FBI trotz Milliarden-Budget noch Probleme wie man beim iPhone sieht. Aber hey, immer diese Krypto-Aluhutträger, verschwenden doch alle nur meine Performance mit ihren Algorithmen, die erst in tausenden Jahren knackbar sind, also mir reicht RSA 512 und AES 64 total aus.
 
@iPeople: naja Hardware Backdoor ist auch "etwas" übertrieben... in 90" aller fälle ist es eine SOFTWARE auf der Hardware also die Firmware die hier ihre "Arbeit" verrichtet... nur ist es leider so, dass man nicht wie beim PC einfach eine neue Software draufspielt sondern es teilweise garnicht möglich ist und teilweise dann nur am Bootloader vorbei (der ein aufspielen ohne Direktanbindung erst ermöglicht)... wenn man jetzt diese Firmware oder den Bootloader bereitstellt, könnte man z.B. bei Festplatten oder TPMs Verschlüsselungscodes ziehen, bei Netzwerkkarten sich nen Remotezugriff schaffen...

stellt sich nur die Frage wieviel Geld müsste man einer Firma die sich am Markt eh mal hart getan hat (z.B. Gigabyte) um sich hier mit "Spezialfirmware" einzukaufen...
> und siehe da, Gigabyte geht es gut :) <- das kann man im übrigen in die Kategorie "Verschwörungstheorie" ablegen, da ich KEINE beweise habe.
 
@baeri: Es ist blanke Theorie, denn seien wir mal ehrlich, es gibt so viele, die sich damit beschäftigen und die würden das entdecken und publizieren.
 
@iPeople: "es gibt so viele, die sich damit beschäftigen"... wie sicher bist du dir da? Klar gibt es Leute die einen Code "Analysieren" oft um einfach zu verstehen wie was gemacht wird...
=> aber Lücken wie z.B. der "Zufallsgenerator" <- den anscheinend lange keiner angeschaut hat, werden auch erst Monate bis Jahre später entdeckt...

Klar werden Lücken schneller entdeckt weil eine "Kommerzielle" Firma ihre Ressourcen anders Wirtschaftet... ABER es werden auch schneller und einfacher Lücken eingeschoben... <= FAZIT: es kommt aufs selbe raus...

der wohl einzige "grundlegende" Unterschied ist doch der Marktanteil... ein Appprogrammierer bzw. Hacker will den größtmöglichen Markt erreichen,... also wird natürlich DEUTLICH weniger Energie investiert hier Lücken einzuschmuggeln bzw. um Lücken zu finden...
 
@baeri: Ich rede von Leuten wie dem CCC oder anderen Institutionen, die sich damit beschäftigen, sowas zu suchen und zu finden.

Wir reden aber immernoch von Hardware-Backdoors, oder?
 
Im Prinzip hat er Recht, auch die FSF hat Recht. Das will ich auf keinen Fall schlecht reden!

Aber es gibt auch einen Haken: man muss ALLEN Teilnehmern (Programmierern) aller Komponenten des Systems (z.B. einer Linux-Distro) vertrauen, das diese kein Backdoor eingebaut haben. Denn niemand (erst Recht nicht der einfache User) kann alle Code-Zeilen kennen und versichern das es mit Rechten Dingen zu geht. Auch alle Teilnehmer können nicht alle anderen Codeteile kennen... jeder kennt nur seinen Teil und vielleicht den vom Nachbarn. Unmöglich alles zu kennen.

Auch als OSS-Benutzer geht man nur eine Vertrauensbasis ein, genauso wie man es bei Closed Source machen muss.

Aber natürlich ist die Chance bei OSS höher, das ein Backdoor auffliegt. Insofern hat Edward Snowden sein Risiko durch OSS zumindest minimiert, da er viel opfern musste und es ja immer noch macht.
 
@artchi: Software ist viel zu komplex. Niemand kann ein Code-Review machen. Wir reden nicht von Hello-World-Programmen. Das Argument von Snowden ist einfach lächerlich. Selbst bei einem so einfachen Programm wie truecrypt hat es bis heute kein vollständiges Code-Review gegeben. Wie soll das dann bei etwas so komplexen wie zum Beispiel einem Betriebssystem gehen? Gar nicht! Open Source ist kein Garant für Qualität. Dafür gibt es unzählige Beispiele. 6 Jahre existierender Bug in Grub 2, 19 Jahre exitierender Bug in LZ4 (in FFmpeg, Grub, ZFS, BTRFS), 8 Jahre existierender Bug in Linux Network Sockets, ... Und wenn man schon Bugs nicht immer findet, dann Hintertüren wohl auch nicht. Und dabei wurde selinux, ein zentraler Sicherheitsmechanismus von Linux von der NSA geschrieben. Ja, DER NSA. Und es hat auch mehrfach Linux-Distributionen und Software gegeben, die mit Backdoor ausgeliefert wurden. Gerade letztens Linux Mint, vor längerer Zeit sogar monatelang IRC-Software Unreal z.B. in Linux Gentoo. Und so könnte man zahlreiche weitere Beispiele bringen. Und dabei ist Linux sehr hochwertig und zuverlässig. Jeder kennt daneben aber sicher auch genügend schrottige Open Source-Produkte. Und keinesfalls heißt das, dass Closed Source-Produkte besser sind. Nein, garantiert nicht. Open Source hat jedoch den Vorteil, dass man Anpassungen vornehmen kann. Dass man Weiterentwicklungen vornehmen kann. Dass man nicht auf das Wohl des Herstellers angewiesen ist. Von daher ist Open Source grundsätzlich erst einmal Closed Source vorzuziehen.
 
@Nunk-Junge: Also GRUNDSÄTZLICH ist das bestimmt nicht der Fall! Es kommt immer auf den Anwender an. Eine Firma wird bestimmt, oder zumindest fast nicht, auf Open Source setzen. Das hat ein ganz einfachen Grund. Support. Der ist bei einer Firma wie Microsoft garantiert, da er im Paket einfach dabei ist. Läuft eine Open Source Software nicht oder bereitet der Firma Probleme, was macht die Firma dann?
Ich möchte jetzt nicht sagen, dass Open Source schlecht ist. Ich möchte nur sagen, dass deine Aussage, dass Open Source grundsätzlich Open Source vorzuziehen ist, falsch ist.
 
@undianer: Du weist aber schon, dass es auch für Open Source Support gibt, auch im Businessbereich?
 
@iPeople: Ja das stimmt schon. Die Frage ist aber, wie der bei der kleinen 10 Personen Firma in Sticksneusiedl aussieht. Aber es stimmt, dass er in den letzten Jahren um einiges ausgebaut wurde.
 
@undianer: Diese Firma wird dann sicherlich keine Aufträge in dieser größenordnung annehmen.
 
@undianer: RedHat? Schon mal was von dieser 10 Mannbutze aus Sticksneusiedl gehört?
 
@undianer: Support kann man einkaufen. Wir nutzen zum Beispiel sehr viele Red Hat-Systeme. Linux ist zwar Open Source, aber Red Hat verkauft Linux mit Support. Die Kosten für ein Red Hat Enterprise Linux sind vergleichbar mit dem von Windows-Systemen.
 
@Nunk-Junge: Njoa...Bei ReactOS hat es einen kompletten Code Review gegeben... Aufgezwungen zwar, aber es hat ihn gegeben. Und dabei handelt es sich auch um ein Betriebssystem. Wenn auch ein kleines. Aber da macht es das nicht weniger kompliziert...
 
@ryg: Ein vollständiger Code Review??? Da habe ich meine Zweifel dran. Im Internet habe ich leider nichts dazu gefunden. Ich kenne Aufwand, den richtige Code Reviews machen. Und das waren nur kleine Programme. Das bekommt man nicht für ein paar Tausend Euro.
 
@Nunk-Junge: Du wirst es sicherlich nicht mehr lesen, aber schau gern mal bei Wikipedia nach. Auf der ReactOS Seite unter Rechtliches der erste absatz. Da steht es. Wird halt nur Code-Audit genannt.
 
@artchi: Du musst nicht allen Teilnehmern vertrauen. Für ein gegebenes Softwareprojekt reicht es, wenn es einen einzigen hinreichend engagierten Teilnehmer gibt, dem du vertraust. Du kannst auch per Crowdfunding einen Teilnehmer (Beobachter) schaffen, dem du vertraust. Theoretisch können alle Entwickler freier Software undercover NSA-Mitarbeiter sein, solange sie ihren Source Code zur Überprüfung auf Hintertüren zur Verfügung stellen müssen. Deshalb ist das Vertrauen des OSS-Benutzers nicht äquivalent zum Vertrauen des Closed Source Benutzers. Der Closed Source Benutzer muss tatsächlich jedem vertrauen. Der Open Source Benutzer kann entscheiden, wem er vertraut. Wenn er einen konkreten Verdacht hat, kann er bestimmte Codeteile selbst überprüfen oder einen vertrauenswürdige Partei schaffen, mit genügend Organisationstalent. Der Closed Source Benutzer kommt nie einen Schritt weiter auf dem Weg zum Vertrauen, er steht immer nur vor einer Black Box.
 
Ja, was soll er auch den Leute auf einer solchen Konferenz sonst sagen? Das ist genau das, was sie hören wollen. Es entbehrt natürlich jeden Beweises und das Gerücht und die Theorie darum nährt sich schon seit mehr als 20 Jahren. Gefunden hat diese Hintertürchen bisher keiner, dabei wäre das sicherlich kein Problem.
 
@iPeople: Vielleicht gibt es keinen Beweis für eine Hintertür, aber ebenso auch nicht dafür, dass es keine gibt. Er behauptet nicht, dass es eine Hintertür gibt, sondern dass man es einfach mangels Überprüfungsmöglichkeiten nicht ausschließen kann und für ihn in seiner Lage wäre das möglicherweise eine Mutmaßung zu viel gewesen. Womit ich auch nicht behaupte, dass OSS eine vollständige Garantie gibt - meines Erachtens behauptet er das aber ebenso nicht. Insofern finde ich eigentlich, dass er recht hat.
 
@adrianghc: Aber die Ironie ist doch, er hat wahrscheinlich auch nicht zeilenweise den Quellcode der von ihm genutzten Linuxdistribution studiert und geprüft. Natürlich hat er Recht. Er hat genauso recht, wie jeder andere, der nichts Konkretes von sich gibt, weil er eigentlich gar nichts zu sagen hat. Die Rede könnte auch von einem Beamten des Bundestages für einen Abgeordneten geschrieben sein, denn genauso klingt es.
 
@iPeople: Er muss den Code ja nicht zeilenweise prüfen, aber die Tatsache, dass der Code einsehbar ist und von diversen Leuten unabhängig voneinander geprüft wird, erhöht die Gewissheit. Kann es völlige Gewissheit geben, dass eine etwaige Hintertür im Quellcode auch gefunden werden würde, oder dass der Quellcode überhaupt vollständig geprüft wird? Natürlich nicht, aber allein vom Prinzip her kann man eine größere Gewissheit als bei Closed-Source erreichen. Irgendwo muss man natürlich für sich selbst entscheiden, wo man seine Grenze setzt: Wem bin ich bereit zu vertrauen und wie weit? Es geht nicht, ohne ein wenig Vertrauen. Ich bin bereit, ein gewisses Vertrauen in Microsoft oder Apple oder Google zu setzen. Andere sind das vielleicht nicht. Das ist aber in Ordnung.
 
@adrianghc: Das ist wie einen SUV in der Stadt fahren. Ist zwar kein schwieriges Gelände, aber das Gefühl, man könnte auch durch die Stadt fahren, wenn das Erdbeben vorbei ist, beruhigt ungemein.
 
@adrianghc: Allerdings ist es bei OSS vermutlich auch deutlich einfacher Code einzuschleusen. Sollte ja für das FBI sehr einfach sein einen "Agenten" an einem OSS Projekt teilnehmen zu lassen. Etwas Vertrauen der anderen Entwickler erarbeitet und schon lässt sich vermutlich recht einfach auch ohne sehr gründliche Prüfung Code einschleusen.

Wenn man das geschickt genug macht sind die Codestellen schwer zu finden und die Nachvollziehbarkeit lässt sich bestimmt auch verschleiern. Also selbst wenn die Codestelle gefunden wird, wird sie maximal gefixt, der "Agent" bleibt aber weiterhin aktiv.

Nun ist nicht ausgeschlossen, dass sowas auch bei Microsoft und Konsorten passiert, aber ich persönlich halte es für unwahrscheinlicher.

Aber grundsätzlich stimme ich dir voll und ganz zu, jeder muss selbst entscheiden wem er vertraut, was Software angeht. Ganz ohne Vertrauen geht es einfach nicht.
 
@iPeople: "Gar nichts zu sagen ...?" Ich denke, Quellcode zu überprüfen dürfte wesentlich aufwendiger sein als einen Beitrag (http://freies-in-wort-und-schrift.info/2011/06/20/rein-politische-entscheidungen-zur-computer-und-datensicherheit-wenn-daus-entscheiden/) zu lesen, der schon vor einiger Zeit geschrieben wurde, aber solche Beiträge machen auch Mühe, obwohl sie wesentlich gehaltvoller als Quellcode sind, zumal die Aussagen von einem Könner der Materie stammen.
 
@alterknacker: Ändert nichts an der Ironie des Ganzen.
 
@adrianghc: Wie soll man etwas beweisen, was es nicht gib ??
 
@Lon Star: Ein tatsächlicher Beweis im strengsten Sinne ist vielleicht unmöglich, da man das nicht mal bei OSS abschließend sagen kann, aber man kann mit OSS eine gewisse Gewissheit erlangen, die bei Closed-Source prinzipiell einfach nicht möglich ist.
 
@adrianghc: ?? Was hat das "Office of Strategic Services" der vorgänger der CIA damit zu tun. Jetzt mal ohne Quatsch, was bedeutet OSS in diesen zusammenhang.
 
@Lon Star: Open-Source Software
 
@adrianghc: Beweise mir doch mal, daß Du noch nie einen Menschen ermordet hast. :D
 
@iPeople:
Du klingst wie ein Religiöser.
So ziemlich alles deutet darauf hin (inkl. Gesetze), dass es Backdoors gibt, aber "es ist ja nicht bewiesen".
Ne, es ist nicht bewiesen, dass es keinen Gott gibt, aber alles drum rum, sagt sehr deutlich, dass es keinen gibt.
Leute wie du können sich nur noch auf ihren Glauben stützen und versuchen Leute wie Snowden und andere Whistleblower lächerlich zu machen. Das hatten wir in der Geschichte schonmal.
 
@Freudian: An unbewiesene Backdoors zu glauben, ist dann wohl weniger "religiös"? Im Prinzip sied Ihr Verschwörungstheoretiker doch die Religiösen Fanatiker, da Ihr auch noch völlig immun gegen Objektivität seid. Alles, was auch nur einen Furz in Eure Richtung geht, wird aufgesaugt und kritiklos verbreitet. Aber ich klinge wie ein Religiöser. Finde die Ironie.

BTW, ich halte es wie alle Atheisten: ich glaube nicht an Gott, aber wenn seine Existenz mal bewiesen werden sollte, braucht auch keiner mehr daran zu glauben, weil wir es dann alle WISSEN.
 
Landesverrat bleibt Landesverrat
 
Ohne Microsoft unterstellen zu können, das sie davon wussten oder daran mitwirkten, wurden Hintertüren bei Windows nachgewiesen, eingebaut 1999 durch die NSA, entdeckt durch Nicko van Someren und Andrew Fernandes.

Auch ist Microsoft heute noch verpflichtet, durch die Amerikanischen Exportbedingungen (Export Administration Regulations / Category 5 Part 1 - Telecommunications und Category 5 Part 2 - Information Security, ua.) sicherzustellen das das Software nur in den genehmigten Richtlinien vom Ausländischen Kunden genutzt wird.
Nun darf jeder mit Spekulieren wie das Microsoft macht und zwar so das die Amerikanischen Aufsichtsbehörden zufriedengestellt werden.

http://www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear

Nachweisen kann man Microsoft nichts und es ist fraglich ob man es jemals sicher kann, aber die Indizienkette ist so Ellen lang das Vorsicht und Misstrauen die einzig mögliche Reaktion bleiben.

Insbesondere auch da Microsoft mit Gewalt W10 in die Computer drücken will!

Somit 100% Zustimmung zu Snowdens Einstellung.
 
@Kribs: Lol, Du glaubst auch alle Internet-Mythen, oder? Gesetze gelten übrigens für jeden, also auch für Open Source-Hersteller.
 
@Nunk-Junge: Seit wann muss sich Open-Source-Software an amerikanische Gesetze halten, wenn der Quellcode aus dem Ausland vertrieben und verwaltet wird?
 
@adrianghc: Stimmt, ein Red Flag Linux aus China muss sich nicht daran halten... Aber Firmen, die aus den USA Produkte vertreiben oder ihren Sitz dort haben. Zum Beispiel Red Hat mit seinem Red Hat Enterprise Linux, Canonical mit Ubuntu ist zwar britisch, aber durch Abkommen zwischen den Ländern auch daran gebunden, ... Also bleibt doch Red Flag Linux. Aber ob ich denen vertraue kann???
 
@Nunk-Junge: "Internet-Mythen"?
Was das es NSA Hintertüren gab/gibt oder das die USA Exportregularien haben die eine ständige Kontrolle voraussetzen?

NSA Hintertüren:
http://dasalte.ccc.de/press/releases/1999/CCC19990903.html.en

Oder eine Suche mit: Nicko van Someren und Andrew Fernandes, NSA

"Gesetze gelten übrigens für jeden, also auch für Open Source-Hersteller."

Nein, dar der Code öffentlich ist nicht, Open Source brauch noch nicht mal eine Export Genehmigung aus den USA, anders als Proprietäre Software von Microsoft oder Apple ua.!

Ich bin zwar kein Psychologe aber das erste was mir bei deinen Post in den Sinn kam ist ein ausgeprägtes Stockholm Syndrom.
 
@Kribs: Haha, auf die "NSAKEY" - Story hab ich jetzt regelrecht gewartet.
 
@iPeople: Dann freu ich mich das ich dir eine Freude gemacht habe, obwohl ich mich des Eindrucks nicht erwehren kann das dem doch nicht so ist?

Kompensationsmechanismus/Spaltungsabwehr = Lachend/Verleugnen
 
@Kribs: Ja, ich bin offensichtlich nicht so immun gegen Chemtrails und manipuliertes Trinkwasser, wie Du. Höchstwahrscheinlich waren auch die letzten Impfungen gegen Malaria und so nicht ganz ohne Nebenwirkungen.
 
@iPeople: Es soll spezielle Eirichtungen geben die Menschen helfen, deren Bezug zur Realität getrübt ist, habe ich gehört, kannst dich ja mal erkundigen im Zweifel ist der Hausarzt ein guter Ansprechpartner.
Eine derartige Obsession Microsoft zu verherrlichen, kann einfach nicht gesund sein, ich drück dir die Daumen und wünsche baldige Besserung.
 
@Kribs: Alleine, dass Du eine "Verherrlichung von Microsoft" gelesen haben willst, macht diesen Vorschlag für Dich in der Tat ziemlich sinnvoll. Krankhaftes Schwarz/Weiß-Denken ist gefährlich. Ich ermutige Dich daher, Deine Idee auch wirklich aufzugreifen und den Hausarzt zu konsultieren. Viel Glück und alles Gute, Du schaffst das.
 
@Kribs: Indizien sind eine Interessante Sache.
So in Schwarz Weiß Dorf gab es einen Raubmord an einer Touristischen Attraktion das Auto von dir wurde dort gesehen.
Dein Mobil Gerät weist aufgrund der durch Netzbetreiber gespeicherten Bewegungen deinen Aufenthalt zur Fraglichen Zeit nach.
Fingerabdrücke gibt es keine da die Mordwaffe fehlt genauso keine DNA Spuren an der Leiche, dafür aber in der Nähe DNA Spuren weil in ein Gebüsch Uriniert wurde.
Allerdings gibt es zusätzlich Zeugen die gesehen haben wollen das dich mit dem Opfer gestritten hast (Parkplatz Streitigkeit).
Ansonsten gibt es da keine Berührungspunkte man kennt sich schlicht nicht.
Auch werden keine der als Gestohlen geltenden Gegenstände bei dir Gefunden.

Dem Indizien Grundsatz der hier angelegt wird müsste man folgern der Mörder bist du.
In der Verhandlung beteuerst immer wieder deine Unschuld trotz der nicht klaren Beweise die nur die Tatsache belegen das dort warst kommt es zur Verurteilung.

Indizien = Vermutungen = Kein echtes bestätigtes Wissen

So selbst wenn die NSA 1999 eine Backdoor einbrachte währe das welches Windows 95/98/ME/XP/2000 und NT4/5 ?
Wie lange war diese denn wirklich vorhanden bis ein Fix Seitens Microsoft diese wieder entfernte und blieb diese in den folgenden Versionen weiter vertreten ?

Snowden ist ein Verräter so etwas nennt sich Spionage.
Wenn ich für einen Geheimdienst Arbeite muss es klar sein das dort Spioniert wird nur darf ich selber nicht weil nun angeblich Gewissensbisse habe ohne weiteres Daten Klauen und Veröffentlichen.
Dieses erfüllt dann nämlich den Punkt Landesverrat und Geheimnisverrat.
Er hat mit 100% Wahrscheinlichkeit eine Verschwiegenheitserklärung unterschrieben wodurch er sich schon Strafbar gemacht hat in mehreren Fällen.
In den USA geht er dafür mindestens Lebenslänglich in den Bau hätten wir Krieg würde er als Spion erschossen.
Alles was er Angeblich so enthüllt hat ist auch nur denen Neu die keine Ahnung haben aber schon durch kurzes Überlegen hätte Logisch sein müssen.
Naja ich hoffe eure Alu Mützen haben Lüftungslöcher im Sommer könnte es sonst verdammt Heiß werden ;).
 
Selbst freie Software kann Hintertüren haben. Wer garantiert das jene, die das angeblich "unabhängig" bestätigen, wirklich ehrlich sind.
Ja, theoretisch kann das jeder prüfen, faktisch aber nicht mal 1% der Leute die einen PC nutzen können.
 
@Scaver: Theoretisch, vollkommen richtig. Linux umfasst weit über 100.000 Mannjahre Code. Also könnte sich jemand hinsetzen und den Code prüfen. Er bräuchte aber mehr als eine handvoll Leben.
 
@Scaver: Bestes Beispiel das Tor Netzwerk, welches finanziell von der NSA unterstützt wird
 
@Scaver: naja... vorallem Freie Software... es gab ja auch schon zig berichte, dass die NSA z.B. für ein Linuxderivat (evtl. sogar direkt für den Kernel) einen Zufallsgenerator (mit Spezialeigenschaften) gebaut hat ^^
 
@baeri: SELinux, entwickelt von der NSA, ist seit 2.6 Bestandteil des Kernel von Linux. Es implementiert die Zugriffskontrollen auf Ressourcen.
 
Versteh einer die Welt. Mutti Merkel heißt alle willkommen, nur Edward Snowden noch immer nicht....
 
@Heimwerkerkönig: Wie stark ist der Krampf, den du davon bekommen hast, die Brücke von dem Thema zur Flüchtlingspolitik zu schlagen? Ernsthaft, kann man nicht mal die Kirche im Dorf lassen?
 
@adrianghc: Ich weise lediglich auf die Doppelzüngigkeit der Möchtegern-Friedensnobelpreisträgerin hin.
 
@Heimwerkerkönig: Einmal Hochverräter, immer Hochverräter.
 
@Heimwerkerkönig: Ich weiß auch nicht, warum die jetzige Regierung Deutschland bzw. uns Deutsche hasst.
 
@Unglaublich: Willst aufn Arm? Soll ich Dir übern Kopf streicheln?
 
Aha...freie Software. Ich habe einen besseren Tip für unseren digitalen Superhelden: Schreibmaschine und Brieftaube benutzen. Zu unsicher? Dann einfach wieder in die Höhle ziehen.

Der Typ war und ist schlicht ne absolute Lachnummer. Wer ERNSTHAFT über seine sog. "Enthüllungen" erstaunt war/ist, sollte evtl. mal abseits von konsumieren, Party usw. auch nur 5 Sekunden darüber nachdenken was er so den ganzen Tag macht. Unfassbar wie diese Type gefeiert wird.
 
Irgendwie hatte ich gehofft, dass da mal Ruhe einkehrt...
Gut, er hat die Unterlagen geklaut die das ganze bestätigen was schon lange jedem hätte klar sein sollen.
Und weiter?
 
@itChOW: Korrekt....Was Snowden "enthüllt" hat, war längst bekannt.
Von z.B. Echelon habe ich schon gelesen, da gab es hierzulande noch gar
kein öffentlich zugängliches Internet. Da hat man sich noch mit 300Bd-Akkustikoppler
in Mailboxen (BBS) herumgetrieben.
Und damals wusste auch noch jeder, dass es immer Mitleser gibt..und wenn es
nur der SysOp einer Mailbox (BBS) war.

Und wie oft der Satz geschrieben wurde:

"Im Internet ist man nicht anonym"

man kann es gar nicht mehr zählen.

Aber die "Generation Facebook" , ist da einfach völlig lernresistent.

Aber egal...Die Unterlagen die Snowden mitgehen hat lassen, sind mittlerweile eh
längst veraltet und damit wertlos geworden.

btw.
Hoffnung auf Rückkehr und Vergebung braucht sich Snwoden keine machen.
Genauswenig wie z.B. der Regiseur Roman Polanski, dem immer noch wegen
"Sex mit einer Minderjährigen" vor 30-40 Jahren in den USA der Prozess gemacht
werden soll. Oder mehre tausend Amerikaner, die ebenfalls vor ca. 40 Jahren nicht
in den Vietnamkrieg ziehen wollten und bei einer Rückkehr in die USA wegen
Fahnenflucht vor Gericht gestellt werden. Da sind die Amis völlig kompromislos.
 
Also in dem Zusammenhang auf Polanski zu kommen...
Klasse!!! ;O)

Die Fahnenflüchtlinge die nicht am Koreakrieg teilnehmen wollten werden aber auch nicht ständig zur Politik vom Kim befragt.

Ich fand es jetzt hakt ein wenig komisch, dass dann, wenn Windows 10 so langsam ins Rollen kommt, plötzlich der Schnow-daun wieder rausgebuddelt wird...
 
Ganz ehrlich der Typ geht mir mega auf den Sack, wenn man es mal ganz nüchtern sieht, hat er nichts anderes als Vaterlandsverrat begangen.
Er hat einen Vertrag unterzeichnet, und mal ganz ehrlich wenn ich beim Geheimdienst arbeite, sollte mir klar sein das dort Spioniert wird..
Und wenn sich die CIA, das FBI oder der BND sich meine Daten ansieht, um zu schauen ob ich etwas im schlimmes vorhabe, so what ich habe nichts zu verstecken oder zu verheimlichen...
Ich finde es wird vieles extrem aufgebauscht, damit die Medien was zum berichten haben, bestes Beispiel Windows 10, wie wurde das in der Luft zerrissen, weil es die User ausspioniert, habe da letztens einen sehr langen Bericht drüber gelesen, und was im endeffekt "Spioniert" wird sind einfach nur Erfassungsamten die nicht wirklich etwas mit den Privaten Dingen der User zu tun haben...
Wenn Cortana mir sagen soll wie lange ich nach München brauche, muss Coratana verdammt nochmal wissen wo ich überhaupt gerade bin.
 
@counter2k: " so what ich habe nichts zu verstecken oder zu verheimlichen..." dümmster Kommentar der seit fast 10 Jahren verbreitet wird, man muss nichts zu verbergen haben um nicht zu wollen, dass jeder fette Hans Wurst vor seinem PC meine Daten durchgeht. Nur weil dir deine Daten am Arsch vorbeigehen, muss nicht jeder so denken.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles