Auf der DailyDave-Mailingliste gefunden:
Auf dem „Workshop on the Economics of Information Security 2010“ hat der mir vorher nicht bekannte Sam Ransbotham ein Paper veröffentlicht mit dem Titel: „An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software“ (PDF). Zu diesem Paper gibt es auch einen Artikel auf Technology Review.
Seine Kernaussage (und ich bin sicher, ein paar Leute bei Microsoft haben das mit Freude gelesen) ist, dass Open Source Software bezüglich Sicherheitslücken die vor der Veröffentlichung gefunden werden möglicherweise einen Sicherheitsvorteil gegenüber Closed Source hat. Falls Sicherheitslücken jedoch erst nach der Veröffentlichung gefunden werden, hat Open Source den Nachteil, dass jeder die Lücken sehen und leicht analysieren kann. Angreifer werden Lücken in Open Source deshalb bevorzugt ausnutzen.
Ich halte wie Dave Aitel sowohl die These für falsch, als auch die Zahlen die er zur Untermauerung verwendet.
Argument 1: Sicherheitslücken werden von Angreifern dann ausgenutzt, wenn es sich für den Angreifer lohnt. Die meisten Angriffe auf Rechner erfolgen heute durch Software wie Adobe Flash oder den Adobe Reader über den Webbrowser auf Windows. Der Grund ist einfach. Finanziell lohnt es sich eher, einen Angriff für das Betriebssystem von 94% der Rechner im Internet zu entwickeln als für die paar Mac OS X oder Linux-Rechner, selbst wenn z.B. der Linux-Source-Code komplett vorhanden ist. Und Flash ist als Browser-Plugin am weitesten verbreitet, auch deshalb werden Exploits speziell für Flash gesucht. Obwohl Flash Closed Source ist.
Argumtent 2: Die von ihm verwendeten Zahlen stimmen einfach nicht. Man kann die Anzahl der Einträge in der National Vulnerability Database (NVD) oder irgendeiner sonstigen Schwachstellendatenbank für Open Source und Closed Source einfach nicht vergleichen. Bei Open Source ist das Standard-Fehlerbehandlungsmodell, dass wenn eine Lücke bekannt wird, für diese Lücke ein Patch entwickelt wird und in den Source-Tree eingepflegt wird. Für die nächste Lücke gibt es den nächsten Patch und auch der wird direkt eingepflegt. Weil jeder den Source-Tree ansehen kann, gibt folglich jede Lücke einen eigenen Vulnerability-Datenbankeintrag. Bei Closed Source liegt es im Interesse des Herstellers (und meist auch der Kunden), dass nicht für jede Lücke direkt ein Patch veröffentlicht wird sondern alle Lücken in einem bestimmten Programm innerhalb eines gewissen Zeitraums in einem gemeinsamen Patch veröffentlicht werden, der hoffentlich gut getestet wurde. Microsoft macht das beispielsweise sehr gerne und behebt mit einem Patch in der Regel mehrere Lücken. Natürlich steht Closed Source dann bzgl. der reinen Zahl der Einträge in einer Schwachstellendatenbank besser da. Daraus jedoch Rückschlüsse auf die Sicherheit ziehen zu wollen ist dumm und naiv.
Im Ergebnis lässt sich mal wieder nur feststellen, dass Sam Ransbotham eine weitere Chance für einen realistischen und echten Vergleich der Sicherheit von Open und Closed Source vertan hat. Eine aussagekräftige und unabhängig überprüfbare Real-World Analyse fehlt mit leider bis heute. Aber egal, gehackt wird sowieso alles 🙂
Oh man… da wird ja jenem schlecht wenn man das Artikel (An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software) liest… ich habe jeden Fall nicht bis ganze Ende gelesen. Da mir schon vorher ganz übel würde.
Ich finde dein Argument 1 sehr zutreffend.
Meine Meinung nach sind u.a. die besten Software Open Source. Und ich sage das obwohl ich eigentlich zum Microsoft Lager gehöre…
Neben der „Sicherheitsbedeken“ wo da erwähnt wird (was nicht ganz stimmt), gibt einen anderen Aspekt. Nämlich der Qualität komplexer Open Source Software.
Ich glaube, es war Niklaus Wirth der sich kritisch zur technischen Qualität komplexer Open Source Software äusserte.
Zitat:
„Die Open Source Bewegung ignoriere und behindere die Vorstellung, komplexe Softwaresysteme basierend auf streng hierarchischen Modulen aufzubauen.“
Ich finde, es ist schon noch was dran.
Abgesehen davon, gibt es sehr gute Beispiele, warum OpenSource nicht schlechter als ClosedSource sein Muss.
UNIX, Linux, Open BSD, Apche, Perl, PHP, MySQL…
Gruss
PowerShell 😉
Comment by PowerShell — 10. Juni 2010 @ 11:27
Ich denke, Open Source kann immer dann besser als Closed Source sein, wenn hinter der Technologie offene Standards stecken. Bei Webdiensten (Apache, etc.) ist das der Fall. Bei Unix/Posix (Linux, etc.) ist das der Fall.
Bei Videoverarbeitung ist das nicht der Fall. Die MPEG-LA hält massiv den Daumen auf allen Lizenzthemen, darum wird es in absehbarer Zeit keine brauchbare Open Source Videoschnittsoftware geben können.
Faktisch können Softwarepatente der Tod von Open Source werden.
Comment by Christian — 10. Juni 2010 @ 12:56
Was ist mit DivX bzw. XviD???
So weit ich weiss, bassiert XviD auf OpenDivX-Quelltext.
Comment by PowerShell — 11. Juni 2010 @ 10:07
Tja, DivX/XviD ist ein heikles Thema. Open Source bedeutet ja nicht automatisch auch, dass es frei (as in free beer) oder frei (as in free to use) ist. Die MPEG-LA vertritt den Standpunkt, dass für jedes Release Lizenzgebühren von 2,50 USD fällig sind:
„There are implementations of both MPEG-2, MPEG-4, and AC-3 decoders for Linux, which are distributed to end users for free, but their distributors infringe patents and violate the laws. For now the athorities are not prohibiting this distribution, but sometime thay can find some means to do so.“
Da schwebt also auch ein Damokles-Schwert …
Comment by Christian — 11. Juni 2010 @ 11:14
Lies mal diesen Artikel zum Thema MPEG-Lizenzen …
Comment by Christian — 11. Juni 2010 @ 11:17
Wenn man alles in dem Arktel glauben darf, sieht ja der MPEG-LA echt eng mit dem MPEG Lizenzen.
Comment by PowerShell — 13. Juni 2010 @ 14:09
Die MPEG-LA behauptet, sie habe so viele und so allgemein umfassende Lizenzen für jede Art von Videokompression, dass es unmöglich sei einen Videokompressionsalgorithmus zu bauen, der keine Patentrechte verletzt. Und weil die Lizenzierung der Patente anscheinend nicht so richtig diskriminierungsfrei ist, klagt Nero wegen illegaler Kartellbildung. Das wird spannend, denn wenn Nero gewinnt dürften so kartellbildende Patentpools der Vergangenheit angehören. Wenn Nero verliert, dann wird Videoverarbeitung auf dem Computer in Zukunft seeeehr teuer.
Comment by Christian — 13. Juni 2010 @ 16:30
Kommentare gesperrt wegen Spam
Comment by Christian — 11. Juni 2012 @ 21:34