giygas
Anmeldungsdatum: 23. Mai 2009
Beiträge: 99
|
glasenisback Backdoors sind grundsätzlich immer möglich. Selbst die Verfügbarkeit des Quellcodes kann keine 100% Gewissheit geben ob nicht doch eine Backdoor vorhanden ist. Selbst das Selbstkompilieren des Quellcodes kann nie eine 100% Sicherheit geben (Siehe auch "//scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a/").
Ich finde es komisch wie du das alles formulierst. Es ist auf jeden Fall so, dass in Windows und OS X allerlei Backdoors im Code drinstecken könnte, wir können uns deswegen niemals vergewissern. Nicht mal Microsoft-Mitarbeiter bekommen den ganzen Quellcode von Windows zu sehen. Das da was ist ist doch klar.
Dazu gibt es ja noch Dienste wie Skype, wo inzwischen jeder wissen müsste, dass die NSA freien Zugriff auf die Daten hat, die Skype und damit Microsoft sammelt.
Wir wissen ja schon, dass Microsoft Löcher im System der NSA übergibt bevor sie sie selbst beheben. Generell ist es so weit ich weiß so, dass in Amerika Firmen jegliche Daten die sie sammeln an die NSA aushändigen müssen. Falls Microsoft Daten über Windows sammelt - was wir nicht wissen, Aufgrund des unfreien Quellcodes - wird die NSA diese Daten einsehen können. Überhaupt sollte man keine proprietäre Verschlüsselungsdienste oder Cloud-Dienste benutzen, wenn es einem nicht völlig egal ist, dass bestimmte Geheimagenten mitlesen... Also ja, Linux ist deutlich sicherer vor Backdoors und NSA-Schnittstellen. Ich kann gar nicht nachvollziehen warum das kaum einer so auf den Punkt bringt...
Das solltest du wirklich erwähnen! Anstatt von "man kann nie sicher sein..." reden. Das demotiviert doch einen! Vielleicht seid ihr ja nicht auf den neusten Stand, aber dass man einfach nur aufpassen sollte welche Informationen man ÖFFENTLICH stellt und damit hat's sich ist Ratschlag von gestern.
|
Windsegel
(Themenstarter)
Anmeldungsdatum: 18. Juli 2013
Beiträge: 16
|
Mir geht es hier nicht um ein SELinux. Da wusste ich nicht einmal, dass die NSA das entwickelt hat. Mir geht es auch nicht um die Anzapfung des Internetverkehrs, jedenfalls nicht in dieser Frage hier. Ich will wirklich nur wissen, ob eine eingebaute Schnittstelle eine Chance hätte lange zu überleben(Jahre)? Das Windows eine eingebaute NSA-Schnittstelle hat, habe ich auf heise.de und golem.de gelesen und das scheint auch schon lange bekannt und bestätigt zu sein. Ich persönlich kann dies nicht nach prüfen, wie so vieles was ich lese. Auch habe ich mich nur sehr marginal mit der Sicherheit beschäftigt, da ich einfach andere Interessen im Leben hatte. Dies möchte ich aber nun ändern und mein erster Schritt ist Fragen zu stellen und zu lernen.
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Windsegel schrieb: Ich will wirklich nur wissen, ob eine eingebaute Schnittstelle eine Chance hätte lange zu überleben(Jahre)?
Ich schätze es so ein, das eine solche Schnittstelle Jahre unentdeckt bleiben könnte. Aber es ist unwahrscheinlicher als unter Closed source. 100% Sicherheit gibt es nicht.
|
glasenisback
Anmeldungsdatum: 20. November 2011
Beiträge: 1603
Wohnort: Fernwald (Gießen)
|
giygas schrieb: Es ist auf jeden Fall so, dass in Windows und OS X allerlei Backdoors im Code drinstecken könnte, wir können uns deswegen niemals vergewissern.
Hä? Woher willst du das wissen? Hast du Zugriff auf den Quellcode? Wohl eher nicht. Es besteht der Verdacht (Vor allem bei Windows), aber einen schlagenden Beweis gibt es dafür nicht.
Nicht mal Microsoft-Mitarbeiter bekommen den ganzen Quellcode von Windows zu sehen. Das da was ist ist doch klar.
Sicher. Und die Amis waren nie auf dem Mond.
Generell ist es so weit ich weiß so, dass in Amerika Firmen jegliche Daten die sie sammeln an die NSA aushändigen müssen.
Falls Microsoft Daten über Windows sammelt - was wir nicht wissen, Aufgrund des unfreien Quellcodes - wird die NSA diese Daten einsehen können.
Wie passen diese beiden Aussagen zusammen. Auf der einen Seite hast du für dich die Gewissheit das MS und Co. die Daten grundsätzlich weitergeben, auf der anderen Seite weißt du nicht ob die NSA die Daten einsehen kann.
Überhaupt sollte man keine proprietäre Verschlüsselungsdienste oder Cloud-Dienste benutzen, wenn es einem nicht völlig egal ist, dass bestimmte Geheimagenten mitlesen...
Das ist ein anderes Thema.
Also ja, Linux ist deutlich sicherer vor Backdoors und NSA-Schnittstellen. Ich kann gar nicht nachvollziehen warum das kaum einer so auf den Punkt bringt...
Es ist sicherer, aber eben nicht 100% sicher. Und wie ich schon geschrieben hatte, bekommt die NSA ihre Daten nicht direkt von den PCs sondern auf anderem Weg. Backdoors sind da komplett unnötig.
Das solltest du wirklich erwähnen! Anstatt von "man kann nie sicher sein..." reden. Das demotiviert doch einen!
Die Wahrheit demotiviert dich?
Vielleicht seid ihr ja nicht auf den neusten Stand, aber dass man einfach nur aufpassen sollte welche Informationen man ÖFFENTLICH stellt und damit hat's sich ist Ratschlag von gestern.
Der Rat gilt immer noch.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5068
|
kaputtnik schrieb: Windsegel schrieb: Ich will wirklich nur wissen, ob eine eingebaute Schnittstelle eine Chance hätte lange zu überleben(Jahre)?
Ich schätze es so ein, das eine solche Schnittstelle Jahre unentdeckt bleiben könnte.
Diese Einschätzung teile ich. Begründung: Sicherheit ist kein absoluter Wert, sondern richtet sich immer nach der Bedrohungslage. Die Bedrohungslage ist hier extrem hoch, weil wir es mit Aktivitäten von Geheimdiensten zu tun haben. Also einem "Angreifer" der erstens finanziell und damit materiell, aber auch rechtlich weitreichend ausgestattet ist und zudem in seinem Handeln kaum parlamentarischer Kontrolle unterliegt. Sofern die rechtliche Ausstattung dabei soweit reicht, dass Firmen von den Nachrichtendiensten zur Mitarbeit bei gleichzeitiger Verschwiegenheit gesetzlich verpflichtet sind oder verpflichtet werden können, ist die Bedrohungslage sehr hoch. Ein Backdoor, dass in Open Source in Zusammenarbeit mit dem Distributor eingepflegt würde und das zudem nicht fortwährend genutzt wird, fällt auch trotz Offenheit des Codes IMO nicht so leicht auf.
Aber es ist unwahrscheinlicher als unter Closed source.
Ich würde es anders formulieren, es ist in der Umsetzung auf jeden Fall aufwendiger. Die Wahrscheinlichkeit für solch ein Szenario richtet sich IMO danach, ob die Nachrichtendienste noch auf einfacherem Weg an die benötigten Informationen gelangen. Würden z.B. jetzt auf einmal 50 % der Nutzer nur noch verschlüsselt kommunizieren, dann würden die Dienste wohl mehr daran setzen (müssen), die Verschlüsselung zu umgehen. Damit steigt dann IMO die Wahrscheinlichkeit für ein Backdoor direkt im Betriebssystem unabhängig davon ob proprietär oder offen. giygas schrieb: Also ja, Linux ist deutlich sicherer vor Backdoors und NSA-Schnittstellen.
Für das "deutlich" hätte ich gerne noch eine Begründung angesichts der Bedrohungslage um die es hier geht. Wie gesagt, dass bei Open Source überhaupt erst mal die Möglichkeit besteht, den Code zu verifizieren* und dass das durchaus einen Wert hat, berücksichtige ich dabei durchaus. Aber für ein "deutlich" ist mir das dann doch noch ein wenig zu dünn. glasenisback schrieb: Und wie ich schon geschrieben hatte, bekommt die NSA ihre Daten nicht direkt von den PCs sondern auf anderem Weg. Backdoors sind da komplett unnötig.
Das stimmt einerseits, aber andererseits denke ich schon, dass die Frage des TE und auch von vielen anderen in diesen Tagen auch darauf abzielt, ob sie nun - sofern bisher noch nicht oder noch nicht in vollem Umfang - den Aufwand betreiben sollen, nun aus Sicherheitserwägungen das Betriebssystem zu wechseln, nur noch verschlüsselt zu kommunizieren, nur noch anonymisiert zu surfen etc.. Ich fange mal mit dem Anonymisieren an: Ich denke, dass dürfte für Otto-Normal-Nutzer, der bisher noch nicht alles für das Anonymisieren getan hat, schwer bis unmöglich werden - zumindest wenn es um das anonymisierte Posten in Internetforen geht. Begründung:
Aufgrund der bisher über ihn gesammelten Daten, von denen mit Sicherheit oder mindestens hoher Wahrscheinlichkeit viele seiner Person zugeordnet werden können, haben die Dienste bei Bedarf bereits so viele Schriftproben, dass er fortan - auch wenn an sich anonymisiert unterwegs ist - durch seinen Schreibstil identifiziert werden kann. Seinen Schreibstil könnte man theoretisch zwar ändern, aber ich würde mal behaupten, dass dazu viele - und da schließe ich mich durchaus mit ein - nicht oder nur mit aller größten Anstrengungen in der Lage sind. Aber auch wenn es nur um das reine anonymisierte Konsumieren von Webinhalten geht, dann ist der Aufwand dafür doch recht erheblich und mit großer Disziplin verbunden. Bei der Verschlüsselung von Kommunikation sieht es erst mal besser aus, weil da IMO weitaus weniger Dinge zu beachten sind, als beim anonymisierten Surfen. Die Verschlüsselung mit GnuPG ist AFAIK nach heutigem Kenntnisstand sicher. Ein konzeptionelles "Problem" sehe ich aber dennoch: Ob Texte die ich an einen anderen verfasse mitgelesen werden können, obliegt nicht meinem eigenem Verantwortungsbereich sondern dem des Adressaten. Und der muss nicht nur an sich vertrauenswürdig sein, dass muss er bei herkömmlicher Kommunikation ja auch, sondern er muss stets die richtige Technik anwenden und auch beherrschen. Und ob alle Adressaten stets nur auf vertrauenswürdigen Plattformen entschlüsseln, darf man im privaten Umfeld schon bezweifeln. Abschließend muss man zu Open Source dann auch noch anmerken, dass wenn man zu dem Schluss kommt, es für die konkrete Bedrohungslage sicherer zu halten, dann aber auch wirklich nur Open Source anwenden kann. D.h. dass Ubuntu in vielen Konfigurationen in denen man es auf privaten Rechnern aktuell vorfinden dürfte, auch schon nicht vollständig Open Source ist (z.B. proprietäre Treiber). Man müsste dann schon eher auf so eine Distribution wie Debian setzen, die den Open Source Gedanken vehementer vertritt. Alles in allem kein Ding der Unmöglichkeit, aber alles - wenn man es ernsthaft machen will - schon mit erheblichen Aufwand verbunden. Wie immer gilt: Hohe Sicherheit schrenkt, den Komfort sehr weit ein. Für mich stellt sich die Frage, ob das Internet nach derzeitiger Umsetzung und den darin anbietenden Dienstleistern überhaupt auf Anonymisierung und Schutz für Daten ausgerichtet ist. Ich habe da im Moment erhebliche Zweifel. Gruß,
Martin EDIT:
*Schreibfehler: "integrieren" nachträglich in "verifizieren" geändert
|
Grimjiar
Anmeldungsdatum: 24. Mai 2012
Beiträge: 294
|
Newubunti schrieb: Für das "deutlich" hätte ich gerne noch eine Begründung angesichts der Bedrohungslage um die es hier geht.
Bitte sehr 😉
http://www.spiegel.de/netzwelt/web/windows-hintertuer-gefaehrdet-ssl-verschluesselung-a-913825.html
|
glasenisback
Anmeldungsdatum: 20. November 2011
Beiträge: 1603
Wohnort: Fernwald (Gießen)
|
Bitte sehr 😉 http://www.spiegel.de/netzwelt/web/w-a-913825.html
Wäre nett gewesen, wenn du den ursprünglichen Artikel verlinkt hättest: http://www.heise.de/ct/artikel/Microsofts-Hintertuer-1921730.html Nur finde ich in dem Artikel kein richtiges Beispiel inwiefern die NSA jetzt dadurch beliebigen Verkehr auf deinem Rechner ausspionieren könnten. Inwiefern könnte ein untergeschobenes Stammzertifikat einen Man-in-the-Middle-Angriff ermöglichen? Dazu müsste die Verbindung doch genau dieses Zertifikat einsetzen oder irre ich mich da?
|
zephir
Anmeldungsdatum: 20. März 2006
Beiträge: 2758
|
Newubunti schrieb:
Für mich stellt sich die Frage, ob das Internet nach derzeitiger Umsetzung und den darin anbietenden Dienstleistern überhaupt auf Anonymisierung und Schutz für Daten ausgerichtet ist. Ich habe da im Moment erhebliche Zweifel.
Das es nicht darauf ausgerichtet ist, dürfte außer Frage stehen. Ich denke aber inzwischen, das es überhaupt nicht möglich ist, da mit technischen mitteln etwas zu erreichen. Man kann tracking und das anlegen von Werbeprofilen verhindern oder zumindest sehr erschweren. Aber über das Internet sicher verschlüsselt zu kommunizieren und anonym surfen halte ich angesichts der zutagkommenden infrastruktur der Geheimdienste inzwischen für sogut wie unmöglich. Jedenfalls vom eigen Rechner und Internetanschluss aus. Anonymisierungstools wie TOR, JAP, I2P, Freenet, anonyme VPN Proxis usw. bieten alle keinen Schutz gegen eine Instanz, die wesentliche Teile des Internets kontrolliert und zudem noch beteiligte Firmen zur Herausgabe von Daten und zum anlegen von logs zwingen kann. Also lassen sich Metadaten, wer mit wem komuniziert, schon mal auf jeden Fall abgreifen. Und wenn man nicht sicher sein kann, das das eigene Betriebssystem keine Backdoor hat, ist auch Verschlüsselung nicht viel wert. Dazu kommt, das sie in der Praxis schwer umsetzbar ist, und man sich mit nur gelegentlicher Verschlüsselung möglicherweise erst recht in den Focus einer intensiveren Überwachung bringt. Wenn müssen möglichts viele möglichst alles verschlüsseln. Ich bin trozdem der Meinung, das man versuchen sollte die Überwachung so schwer wie möglich zu machen, es versuchen ja nicht nur Geheimdienste mitzulesen, und auch für die steigt der Aufwand, aber letztlich muss man gegen Überwachung politisch und nicht technisch vorgehen, und vor allem nicht darauf vertrauen, das ihrgendwelche Daten sicher wären. Iin dem Sinne ist auch ein Umstieg auf Linux sinnvoll. Auf jeden Fall steigt der Aufwand deutlich, wenn man in alle existierenden Distributionen Backdoors unterbringen will, außerdem ist das Risiko, das es auffliegt größer und dann evt. auch der Protest dagegen.
|
zephir
Anmeldungsdatum: 20. März 2006
Beiträge: 2758
|
kaputtnik schrieb: Windsegel schrieb: Ich will wirklich nur wissen, ob eine eingebaute Schnittstelle eine Chance hätte lange zu überleben(Jahre)?
Ich schätze es so ein, das eine solche Schnittstelle Jahre unentdeckt bleiben könnte. Aber es ist unwahrscheinlicher als unter Closed source. 100% Sicherheit gibt es nicht.
Die OpenSSH Lücke in Debian/Ubuntu link blieb immerhin 2 Jahre unentdeckt, und wären, wenn sie der NSA bekannt gewesen wäre, hervorragend geeignet zum Überwachen verschlüsselter Kommunikation und eindringen in fremde Server gewesen. Vermutlich war es wirklich nur ein Fehler des beteiligten Paket-maintainers, der den patch eingereicht hat, aber einem anständigem Geheimdienst sollte es leicht fallen, solche "Fehler" auch gezielt einzuschleusen. Zumal Debian ein offenes Projekt ist, und es normal ist das viele Entwickler Code beitragen. Eine andere kommerziell erfolgreiche große Linux Distribution, mit vielen Kernel entwicklern, hat ihren Sitz in den USA und verdienen dort Millionen, die dürfte auch anfällig für stattlichen Druck sein, wenn es um eine Zusammenarbeit mit Geheimdiensten geht. Der günen Echse aus Deutschland würde ich diesbezüglich auch nicht unbedingt über den Weg trauen. Das sicherheitstechnisch größte Plus von Linux gegenüber Windows dürfte die Vielfalt sein, die ganzen Linux Distributionen sind wie ein Sack Flöhe, und lassen sich sicher schwieriger kontrollieren als das schwerfällige Windows. Das würde allerdings gegen Mainstream Distributionen wie Ubuntu sprechen. Allerdings bauen die meisten kleineren Distributionen mehr oder weniger auf dem selben Paktepool auf, wenn da an zentraler Stelle z.B. im Linuxkernel oder in wichtigen Kryptopaketen eine Backdoor existiert, ist die Chance wohl groß, das sie die auch unbemerkt übernehmen, da sie gar nicht das Know How haben, dort Fehler zu entdecken oder die Pakete selbst zu pflegen. Abseits der bunten Wallpapers ist die Vielfalt also so groß gar nicht.
|
DonKrawallo
Anmeldungsdatum: 9. August 2007
Beiträge: 1449
Wohnort: Waterkant
|
zephir schrieb: Eine andere kommerziell erfolgreiche große Linux Distribution, mit vielen Kernel entwicklern, hat ihren Sitz in den USA und verdienen dort Millionen, die dürfte auch anfällig für stattlichen Druck sein, wenn es um eine Zusammenarbeit mit Geheimdiensten geht.
Wenn das passiert bzw, passiert ist, dann sind wir alle im Arsch. Die Jungs und Mädels mit den roten Schlapphüten arbeiten mit Vorliebe im Upstream... (Es darf jetzt jeder, der will, seiner Paranoia freien Lauf lassen.) Gruß DonKrawallo
|
BartS
Anmeldungsdatum: 27. Februar 2009
Beiträge: 149
|
Vor ein paar Jahren ging eine vermeintliche Backdoor im OpenBSD IPSec-Stack mal hoch durch die Presse [1]. Es betrifft damit zwar nicht direkt Linux, aber die Mechanismen sind doch ganz interessant, zumal man nach einem ersten Dementi nichts weiter von der Sache gehört hat. [1] heise 1 heise 2 Grüße
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5068
|
Grimjiar schrieb: Bitte sehr 😉
http://www.spiegel.de/netzwelt/web/windows-hintertuer-gefaehrdet-ssl-verschluesselung-a-913825.html
Das belegt eine Schwachstelle in Windows. Dass man Windows hinsichtlich Zusammenarbeit mit Geheimdiensten im Zweifel nicht trauen kann, steht ja in diesem Thread gar nicht zur Debatte, sondern scheint ja vielmehr der Auslöser zu sein, dass sich Anwender über Alternativen informieren. Meine Frage zielte daher darauf ab, wie sich die deutliche höhere Sicherheit von Linux - bei wohlgemerkt dieser speziellen Bedrohungslage (Geheimdienste) - begründet. Da nützt es dem Fragesteller nichts, wenn er ein Beispiel für eine Schwachstelle in Windows präsentiert bekommt. Das sagt über die Sicherheit gegenüber der Bedrohung bei Linux nichts aus. Nur weil dieses spezielle Problem bei Linux nicht besteht, sagt das ja noch nichts darüber aus, ob unter Linux für Geheimdienste nun ein Zugriff möglich ist oder nicht und wie wahrscheinlich diese Zugriffsmöglichkeit wäre bzw. ist. Im übrigen ist doch das im c't-Artikel angesprochene Problem weniger das des dynamischen Nachladens von Zertifikaten, sondern vielmehr die Fragwürdigkeit der gesamten CA-Infrastruktur. Außerdem sollte der Autor des Artikels mal unter dem eigenen Dach nachschauen: http://www.heise.de/security/meldung/EFF-zweifelt-an-Abhoersicherheit-von-SSL-963857.html und hier der englische Original-Artikel der EFF, auf dem der heise-Artikel beruht: https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl Nach den jetzigen Enthüllungen liegt es IMO nicht so sehr fern, dass an den EFF-Vermutungen etwas dran ist. Und wenn man dann noch berücksichtigt, dass viele Behörden CAs sind, dann braucht man doch da hinsichtlich Einflussnahme-Möglichkeit durch Geheimdienste sowieso schon nicht mehr weiter zu diskutieren. Das SSL/TSL-Prinzip ist nun mal, dass man bestimmten CAs und Herstellern von Software die bestimmte CAs als vertrauenswürdig voreingetragen haben traut, ob da dann was dynamisch nachgeladen wird oder nicht - ist zwar nicht völlig unproblematisch - aber nicht des Pudels Kern. Gruß,
Martin
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Newubunti schrieb: Etwas was mich an solchen Diskussionen stört: Es wird eine Bedrohung postuliert, aber niemand kann die Bedrohung in Worte fassen, begreifbar machen, beschreiben.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5068
|
kaputtnik schrieb: Newubunti schrieb: Etwas was mich an solchen Diskussionen stört: Es wird eine Bedrohung postuliert, aber niemand kann die Bedrohung in Worte fassen, begreifbar machen, beschreiben.
Ich bin mir jetzt nicht ganz sicher worauf die hinaus willst. Aber in diesem Thread diskutieren wir doch IMO auf - wohlgemerkt - der Annahme, dass an den Behauptungen/Enthüllungen/Veröffentlichungen Snowdens etwas dran ist. Die Frage des TE ist ja eigentlich diesbezüglich auch relativ konkret. Persönlich kann ich natürlich auch nicht sicher einschätzen, was nun an den Snowden-Enthüllungen konkret dran ist. Wer kann das schon, wenn man bedenkt welch geringer Kontrolle Geheimdienste unterliegen. Theoretisch wäre es auch denkbar, dass die Geheimdienste aufgrund der wirtschaftlichen Schieflage vieler Staaten auch finanziell am Ende sind, mit vier Commodore VC-20 und einem schwerhörigen Akustikkoppler an einer digitalen Leitung zu horchen versuchen und daher die Akte Snowden selbst inszeniert haben, um ihre technische Unterlegenheit zu verschleiern. Ich bin grundsätzlich der Ansicht, dass man die Sicherheit eines Systems auch nur sicher beurteilen kann bzw. besser beurteilen kann, wenn man die Bedrohungslage genau kennt. Also sofern wir jetzt - unter dem Vorbehalt, dass die Snowden-Enthüllungen nicht zwangsläufig wahr sein müssen - trotzdem mal davon ausgehen, dass sie der Wahrheit entsprechen und damit auf einen bestimmten Aktionsradius der Geheimdienste geschlossen werden kann und dann auch muss, was ist Dir dann an dieser Bedrohungslage nicht konkret genug? Natürlich besteht bei dem ganzen auch die Gefahr, dass man die Bedrohungslage überschätzt. Unterschätzen der Bedrohungslage ist aber, sofern man an ernsthaftem Schutz interessiert ist, auch ein Problem. Ansonsten halt mal alle Hände hoch jetzt von denen, die genauen Einblick bei den Geheimdiensten haben. Man muss aber zu Deiner IMO durchaus berechtigten Anmerkung auch sagen, dass die Beschreibung von Sicherheit in der Regel nicht minder diffus vorgenommen wird: Da wäre z.B. einer meiner "Lieblungssprüche":
Jetzt auch nicht gerade ein Ausmaß an detaillierter Schärfe. Gruß,
Martin
|
zephir
Anmeldungsdatum: 20. März 2006
Beiträge: 2758
|
DonKrawallo schrieb: zephir schrieb: Eine andere kommerziell erfolgreiche große Linux Distribution, mit vielen Kernel entwicklern, hat ihren Sitz in den USA und verdienen dort Millionen, die dürfte auch anfällig für stattlichen Druck sein, wenn es um eine Zusammenarbeit mit Geheimdiensten geht.
Wenn das passiert bzw, passiert ist, dann sind wir alle im Arsch. Die Jungs und Mädels mit den roten Schlapphüten arbeiten mit Vorliebe im Upstream... (Es darf jetzt jeder, der will, seiner Paranoia freien Lauf lassen.) Gruß DonKrawallo
Schwer vorstellbar, das die NSA eines der verbreitesten Serversysteme einfach aussen vor läßt. Wenn Google, Apple, Facebook, Microsoft und andere US Unternehmen unter Druck gesetzt werden, mit Geheimdiensten zu kooperieren und zugriff auf verschlüsselung zu gewähren, wird das auch für bedeutende Firmen im Linux Umfeld gelten. Was natürlich noch nichts über den Umfang einer Kooperation aussagt, es wäre für RedHat viel mehr als für Microsoft das Todesurteil, wenn bekannt würde, das die absichtlich eine Backdoor in ihr System eigebaut haben. Es muss aber ja auch keine offizelle Zusammenarbeit sein. Geheimdienste arbeiten auch mit verdeckten Mitarbeitern, Bestechung und Erpressung. Klar ist das reine Spekulation, aber der Begriff Paranoia ist für solche Überlegungen wohl nicht mehr angebracht. Eher gesundes Misstrauen.
|