{"id":1291,"date":"2010-06-09T23:26:04","date_gmt":"2010-06-09T22:26:04","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1291-open-source-open-door-fur-hacker"},"modified":"2018-06-01T00:14:11","modified_gmt":"2018-05-31T23:14:11","slug":"open-source-open-door-fur-hacker","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1291-open-source-open-door-fur-hacker","title":{"rendered":"Open-Source = Open Door f\u00fcr Hacker?"},"content":{"rendered":"

Auf der DailyDave-Mailingliste<\/a> gefunden:<\/p>\n

Auf dem „Workshop on the Economics of Information Security 2010<\/a>“ hat der mir vorher nicht bekannte Sam Ransbotham ein Paper ver\u00f6ffentlicht mit dem Titel: „An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software<\/a>“ (PDF). Zu diesem Paper gibt es auch einen Artikel auf Technology Review<\/a>.<\/p>\n

Seine Kernaussage (und ich bin sicher, ein paar Leute bei Microsoft haben das mit Freude gelesen) ist, dass Open Source Software bez\u00fcglich Sicherheitsl\u00fccken die vor<\/em> der Ver\u00f6ffentlichung gefunden werden m\u00f6glicherweise einen Sicherheitsvorteil gegen\u00fcber Closed Source hat. Falls Sicherheitsl\u00fccken jedoch erst nach<\/em> der Ver\u00f6ffentlichung gefunden werden, hat Open Source den Nachteil, dass jeder die L\u00fccken sehen und leicht analysieren kann. Angreifer werden L\u00fccken in Open Source deshalb bevorzugt ausnutzen.<\/p>\n

Ich halte wie Dave Aitel sowohl die These f\u00fcr falsch, als auch die Zahlen die er zur Untermauerung verwendet.<\/p>\n

Argument 1:<\/strong> Sicherheitsl\u00fccken werden von Angreifern dann ausgenutzt, wenn es sich f\u00fcr den Angreifer lohnt. Die meisten Angriffe auf Rechner erfolgen heute durch Software wie Adobe Flash oder den Adobe Reader \u00fcber den Webbrowser auf Windows. Der Grund ist einfach. Finanziell lohnt es sich eher, einen Angriff f\u00fcr das Betriebssystem von 94% der Rechner im Internet zu entwickeln als f\u00fcr die paar Mac OS X oder Linux-Rechner, selbst wenn z.B. der Linux-Source-Code komplett vorhanden ist. Und Flash ist als Browser-Plugin am weitesten verbreitet, auch deshalb werden Exploits speziell f\u00fcr Flash gesucht. Obwohl Flash Closed Source ist.<\/p>\n

Argumtent 2:<\/strong> Die von ihm verwendeten Zahlen stimmen einfach nicht. Man kann die Anzahl der Eintr\u00e4ge in der National Vulnerability Database (NVD) oder irgendeiner sonstigen Schwachstellendatenbank f\u00fcr Open Source und Closed Source einfach nicht vergleichen. Bei Open Source ist das Standard-Fehlerbehandlungsmodell, dass wenn eine L\u00fccke bekannt wird, f\u00fcr diese L\u00fccke ein Patch entwickelt wird und in den Source-Tree eingepflegt wird. F\u00fcr die n\u00e4chste L\u00fccke gibt es den n\u00e4chsten Patch und auch der wird direkt eingepflegt. Weil jeder den Source-Tree ansehen kann, gibt folglich jede L\u00fccke einen eigenen Vulnerability-Datenbankeintrag. Bei Closed Source liegt es im Interesse des Herstellers (und meist auch der Kunden), dass nicht f\u00fcr jede L\u00fccke direkt ein Patch ver\u00f6ffentlicht wird sondern alle L\u00fccken in einem bestimmten Programm innerhalb eines gewissen Zeitraums in einem gemeinsamen Patch ver\u00f6ffentlicht werden, der hoffentlich gut getestet wurde. Microsoft macht das beispielsweise sehr gerne und behebt mit einem Patch in der Regel mehrere L\u00fccken. Nat\u00fcrlich steht Closed Source dann bzgl. der reinen Zahl der Eintr\u00e4ge in einer Schwachstellendatenbank besser da. Daraus jedoch R\u00fcckschl\u00fcsse auf die Sicherheit ziehen zu wollen ist dumm und naiv.<\/p>\n

Im Ergebnis l\u00e4sst sich mal wieder nur feststellen, dass Sam Ransbotham eine weitere Chance f\u00fcr einen realistischen und echten Vergleich der Sicherheit von Open und Closed Source vertan hat. Eine aussagekr\u00e4ftige und unabh\u00e4ngig \u00fcberpr\u00fcfbare Real-World Analyse fehlt mit leider bis heute. Aber egal, gehackt wird sowieso alles \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"

Auf der DailyDave-Mailingliste gefunden: Auf dem „Workshop on the Economics of Information Security 2010“ hat der mir vorher nicht bekannte Sam Ransbotham ein Paper ver\u00f6ffentlicht mit dem Titel: „An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software“ (PDF). Zu diesem Paper gibt es auch einen Artikel auf Technology Review. Seine Kernaussage […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1291"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1291"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1291\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}