ubuntuusers.de

Hallo liebe Ubuntuusers,

habe mich soeben angemeldet, um folgende Frage in den Raum zu stellen: Cannonical hat seinen Hauptsitz in London. Jetzt wurde kürzlich der "Investigatory Powers Act" in GB durchgewunken. Damit geht aus (nicht nur) meiner Sicht die Gefahr einher, dass staatlich verordnete "Backdoors" eingebaut werden? So etwas mag ich gar nicht! Zur Zeit nutze ich Ubuntu Touch auf meinem Telefon und Ubuntu auf diversen Rechnern. Bleibt Ubuntu vertrauenswürdig? Wird Cannonical seinen Hauptsitz verlegen? Hilfe! Kann das jemand von euch einschätzen? Bitte keine "ich habe nichts zu verbergen"-Grundsatzdiskussion! Mir ist das wichtig und ich bin sehr verunsichert.

Vielen Dank, Galeorhinus

Moin Moin,

ich glaube, dass ist eher im Bereich Rund um Linux und Open Source aufgehoben.

Dieses Forum hat damit nichts zu tun, stellt Hilfe zur Selbsthilfe bereit und auch keinen Einfluss auf Entscheidungen von Cannonical. Solltest Du mir Recht geben können, melde den Topic und bitte um Verschiebung.

Gruß

Ich halte den Ort der Distributionsfirma für weniger relevant. Viel Software wird in den USA oder sonstwo programmiert. Auch wenn theoretisch jeder den Source einsehen kann, wird man gut implementierte Backdoors kaum direkt beim Überfliegen des Source erkennen. Dafür gab es schon zuviele Bugs, die lange Zeit irgendwo schlummerten.

Selbst der BND steckt wohl viele Millionen rein, um an Zertifikate und ähnliches zu kommen. Damit wären dann z.B. Updateserver angreifbar (ich kenne niemanden, dem ich zu 100% abnehmen würde, dass er für eine (oder x) Million(en) Euros nicht alles was man braucht, um Updateservern Backdoorpakete unterzujubeln, bereitstellen würde).

Da geht es zwar um Whatsapp und Co.: https://www.heise.de/newsticker/meldung/BND-will-angeblich-mit-150-Millionen-Euro-Whatsapp-Co-knacken-3520634.html

Die Infrastruktur von Servern dürfte aber auch interessant für sie sein.

Eilverfahren: Bundesrat winkt BND-Netzüberwachung im NSA-Stil durch

https://www.heise.de/newsticker/meldung/Eilverfahren-Bundesrat-winkt-BND-Netzueberwachung-im-NSA-Stil-durch-3456437.html

Es wird also langfristig keinen Unterschied machen, ob Software in DE, in den USA, in Großbritannien entwickelt oder verteilt wird. Das Cyberwettrüsten ist in vollem Gange.

verdooft schrieb:

Es wird also langfristig keinen Unterschied machen, ob Software in DE, in den USA, in Großbritannien entwickelt oder verteilt wird. Das Cyberwettrüsten ist in vollem Gange.

Was Sicherheitstechnisch aber durchaus praktisch ist, seit Snowden hat sich die Sicherheit vieler Systeme massiv verbessert da intensiver nach Lüchen gesucht wird oder zusätzliche Sicherungsmaßnahmen ergriffen werden. Perfekt ist es nie, aber besser.

mfg Stefan Betz

Einen Bug zu suchen ist aber nochmal was anderes, als nach einer Backdoor zu suchen.

Außerdem kannst Du Dir heute den Quellcode von 16.10 runterladen, speichern, und später mit 17.04 vergleichen und kannst Dich auf die Unterschiede beschränken.

Und wer garantiert mir, dass die Pakete, die bei mir landen, aus diesem Quellcode gebaut wurden? Klar kann man vieles vergleichen, kontrollieren, selbst bauen, etc.. Ich zweifle nur an, dass das wirklich viel gemacht wird und bin mir ziemlich sicher, dass eine Backdoor wie ein Bug aussehen kann.

Also klar, wenn plötzlich bei tausenden Linuxusern Verbindungen irgendwo ins Internet stattfinden und einige dem mit Wireshark auf die Spur kommen, ist sowas schnell aufgeklärt. Setzen Geheimdienste sowas aber gezielt ein, kann's dauern.

Moin Moin,

haltet euch vom Internet fern. 😈

Es straft Euch mit der NSA / BND / BKA.

Also sowas von bekloppt, wer hat denn noch ein einfaches Handy zum Telefonieren, die Meisten haben ein Streicheltelefon, mit dem sie sowieso alle ihre Bewegungen an Alle melden.

Also bitte ein wenig Zurückhaltung bei der Gefahrenanalyse für Linux/Ubuntu.

Gruß

Kurzum: man muss gewissen Leuten vertrauen. Wenn man das Fass aufmacht, dann endet es damit, das du alleine im Wald sitzt. Ohne alles.

Es ist dabei vollkommen egal ob es jetzt um Canonical mit Büros unter anderem in London (der rechtliche Sitz der Firma ist auf der Isle of Men) geht, oder um Debian, oder RedHat oder oder oder. Die Firmen sind nämlich "nur" Distributoren. Was sagt dir, ob im Sourcecode von Systemd nicht schon eine Backdoor drin ist, weil irgendein Dienst (oder Firma) Lennart Poettering unter Druck gesetzt oder geschmiert hat? Das wäre ja dann in einer Menge Linuxen schon gelandet; egal wo der Distributor seinen Sitz hat.

Glaube ich, dass Ubuntu nun Backdoors einbaut? Nein. Denn das kommt früher oder später raus, und dann kann das ein K.O.-Schlag sein.

Ich finde es nachvollziehbar, sich mit Sicherheit zu beschäftigen. Wer hier welches Handy und überhaupt eines verwendet, weißt du doch gar nicht.

Außerdem ist es ok, zunehmende/zusätzliche Unsicherheiten anzusprechen. Die neuen Befugnisse der Geheimdienste in GB sind sowas.

verdooft schrieb:

Und wer garantiert mir, dass die Pakete, die bei mir landen, aus diesem Quellcode gebaut wurden? Klar kann man vieles vergleichen, kontrollieren, selbst bauen, etc..

Wenn Du es wissen willst, ja musst Du selbst bauen. Oder Du findest jemanden, den es noch mehr interessiert als Dich, und dem Du dann vertrauen musst, wenn er mit Dir Hashcodes vergleicht.

Ich zweifle nur an, dass das wirklich viel gemacht wird und bin mir ziemlich sicher, dass eine Backdoor wie ein Bug aussehen kann.

Hast Du schon mal irgendwo so eine Backdoor eingebaut?

Also klar, wenn plötzlich bei tausenden Linuxusern Verbindungen irgendwo ins Internet stattfinden und einige dem mit Wireshark auf die Spur kommen, ist sowas schnell aufgeklärt. Setzen Geheimdienste sowas aber gezielt ein, kann's dauern.

Was heißt gezielt? Bei 1-2 Leuten nur, darunter Du? Oder nur 4.7. zwischen 19:00 und 19:30 Uhr?

Gezielt bei wenigen, aber stimmt, daran dass Backdoorpakete auch wieder zwecks Spurenverwischen mit "normalen" Paketen überschrieben werden können, dachte ich noch gar nicht.

verdooft schrieb:

Wer hier welches Handy und überhaupt eines verwendet, weißt du doch gar nicht.

Tümmler hat ja auch nichts von den Meisten hier geschrieben.

Bezogen auf die deutsche Allgemeinheit liegt dieser Statistik zufolge die Anzahl der Smartphonenutzer in Deutschland bei ca. 45,6 Millionen Leuten, das sind bei ca. 82 Millionen Einwohnern 55,6% und somit die Meisten.

Tüemmler kann ja mal schreiben, welche Meisten er meinte. ☺

Hi Galeorhinus,

zuerst mal willkommen hier auf dem Forum !

Du hast ja eine beträchtliche Diskussion hier angestoßen ...

Dabei irritiert mich, dass Du bisher auf gar keinen der Beiträge reagiert hast. Ich hoffe ja mal, dass Du wirklich eine Frage hattest und nicht nur zugucken wolltest, wie es hier in der Diskussion heiß her geht.

Hat denn irgend eins der Argumente Deine Frage auch nur annähernd beantwortet ?

LG,

track

p.s.:
Einen interessanten Nick hast Du ! ... "Hai-Naserich" oder so (von [gr.] "galeo" = Hai + "rhina" = Nase)
Wie bist Du auf die Idee gekommen ?

Hallo Alle!

Zunächst vielen Dank für die Antworten!

Zu Tuemmler:

Es straft Euch mit der NSA / BND / BKA.

Also sowas von bekloppt, wer hat denn noch ein einfaches Handy zum Telefonieren, die Meisten haben ein Streicheltelefon, mit dem sie sowieso alle ihre Bewegungen an Alle melden.

Also bitte ein wenig Zurückhaltung bei der Gefahrenanalyse für Linux/Ubuntu.

Na deswegen (und wegen anderer, nicht abschätzbarer Schnüffeleien) habe ich zunächst Windows verbannt und mir ein Smartphone mit Ubuntu Touch zugelegt, wohl wissend, dass ich damit nicht generell gefeit bin. Zusätzlich habe ich eine Firewall mit pfsense und Snort gebastelt (man wundere sich, was selbst hinter einer Fritz!Box noch alles läuft).

Zu k1l:

Kurzum: man muss gewissen Leuten vertrauen. Wenn man das Fass aufmacht, dann endet es damit, das du alleine im Wald sitzt. Ohne alles.

Ich vertraue der open source community, aber in Punkto Datenschutz und Privatheit nicht (mehr) den staatlichen Institutionen. Daher hier meine Frage, ob es vorstellbar ist, dass eine staatliche Stelle selbst bei einem open source Projekt wie Ubuntu oder Debian eine "Backdoor" o.ä. verordnen kann, OHNE dass es die interessierte Öffentlichkeit mitbekommen würde (siehe USA, z.B. Lavabit)?

Zu track:

Dabei irritiert mich, dass Du bisher auf gar keinen der Beiträge reagiert hast. Ich hoffe ja mal, dass Du wirklich eine Frage hattest und nicht nur zugucken wolltest, wie es hier in der Diskussion heiß her geht.

Hat denn irgend eins der Argumente Deine Frage auch nur annähernd beantwortet ?

LG,

track

p.s.: Einen interessanten Nick hast Du ! ... "Hai-Naserich" oder so (von [gr.] "galeo" = Hai + "rhina" = Nase) Wie bist Du auf die Idee gekommen ?

Na, erstmal ein paar Reaktionen einfangen und dann en Block beantworten? Bin nicht 24/7 online. Heiße (unaufgeregte) Diskussionen Dritter können sehr erhellend sein. 👍 Galeorhinus ist der wissenschaftl. Gattungsname des Hundshai. Bin Naturfreund und auf der Suche nach unverfänglichen und bisher ungenutzten Nicknames kommt man schon mal auf komische Ideen.

Viele Grüße, Galeorhinus