Opensource ist einfach viel besser - oder etwa nicht

Einleitung

Ende Februar 2018 ging es als Eilmeldung durch das Internet. Das Netzwerk der Bundesregierung wurde durch die Hackergruppe „APT28“ kompromittiert und angeblich wurden auch sensible Daten aus dem Netzwerk abgegriffen. Die Hacker stehen angeblich der russischen Regierung nahe und einige Quellen gehen von provozierenden Handlungen aus.

In Diskussionsforen, insbesondere bei Heise, Golem und natürlich auch bei Facebook und Twitter wird nun darüber diskutiert, wieso erstens keiner etwas gemerkt hat und warum zweitens nach den damaligen Attacken auf die Regierungsnetzwerke so etwas wieder passieren konnte. Es wird auch darüber diskutiert, ob man die Schuld bei Microsoft suchen kann, weil die meisten Regierungsrechner doch mit Windows laufen.

Update: Kann auch sein, dass es die Gruppe „Snake“ war.

Auftritt Linux

Ich bin Fanboy und begeisterter Anwender von Linux. Mir gefällt die Performance, mir gefällt die Möglichkeit, meinen Rechner zu konfigurieren, wie ich es will und nicht zuletzt gefällt mir die angebliche Sicherheit dieses Betriebssystems. Zuhause nutze ich sowohl Ubuntu als auch Raspian sowie auch Fedora-Linux auf diversen Laptops und Workstations. Ich habe mich vor knapp 4 Jahren bewusst gegen Windows entschieden und auch wenn mein Rechner diverse Male komplett in die Grätsche gegangen ist, lief mein Computer nie so stabil, wie jetzt zu Linux-Zeiten.

Im Servermarkt dominiert Linux sowieso und selbst Microsoft musste irgendwann zugeben, dass Android (Linux) und iOS (BSD) irgendwie smoother laufen, als ein Windows auf dem Telefon.

Warum nutzt die Regierung also kein Linux?

Linuxbenutzer - mich eingeschlossen - neigen oft dazu, zu behaupten, dass ein Linux viel sicherer ist, als zum Beispiel ein Windows-System. Das ist allerdings blauäugig und schlicht und einfach nur falsch. Ein inkorrekt konfiguriertes Linux ist sogar viel offener und unsicherer, als ein mies installiertes Windows-System. Du könntest dir zum Beispiel ein Linux installieren und dies als Hauptbenutzer „root“ im täglichen Arbeitseinsatz benutzen. Das wäre fatal, weil der „root“ tatsächlich alles darf, ohne Einschränkung. Selbst Windows fragt beim Administrator-Zugang manchmal brav nach, ob dur Aktion XYZ wirklich durchführen willst.

Unabhängig von der falschen Benutzung eines Linuxadministratorkontos gibt es aber viel trivialiere Zugriffsmöglichkeiten. Heute werden Systeme normalerweise nicht mehr über „Brute-Force“ gehackt. Der Aufwand, Passworthashes zu entschlüsseln, ist viel zu groß und rechnet sich gar nicht.

Social engineering

Die meisten Hacks sind heute das Ergebnis von guten Gesprächen. Tatsächlich kommen die meisten Leute in Netzwerke rein, weil sie sich vorher mit „internen Personen“ angefreundet haben und diese dann in einer Bierlaune das Passwort verraten. Diese Technik nennt sich „social engineering“, es wird also bewußt jemand manipuliert, damit dieser etwas macht, was er so nicht tun würde. Immer wieder liest man zum Beispiel von Anrufen durch Mitarbeiter der Firma Microsoft, die aufgrund von angeblichen Sicherheitstests sensible Zugangsdaten erfragen.

Automatisiertes „social engineering“ gibt es tagtäglich in den sozialen Netzwerken. Immer wieder tauchen Statusmeldungen auf, dass der eigene Account gehackt worden sei. Wenn man nachfragt, wie das passieren konnte, ist die Antwort dieselbe: „Ich habe mir ein Programm installiert, mit dem ich sehen kann, wer auf meinem Profil war“ oder die Leute benutzen ihre Facebook-Logins für irgendwelche doofen Spielchen, bei denen das eigene Profilbild durch ein Programm auf die Grafik eines Hogwarts-Schülers projiziert wird. Dass diese Dienste dabei das Facebook-Login für sich ausnutzen könnten, daran denken die meisten nicht.

Wie du siehst, ist dafür also das Betriebssystem völlig irrelevant. Wenn jemand dich oder jemanden, der dir nahesteht aushorcht, dann hast du verloren.

Open-Source ist besser wegen der Kosten

Warum Open-Source trotzdem besser ist, erkläre ich dir jetzt. Ich habe jahrelang mit der Industrie zusammen gearbeitet. Ich erstellte Webseiten und es verging kein Tag, an dem nicht irgend jemand zu mir gesagt hat, dass diese Webseite nicht unter dem Internet Explorer 7 funktioniert. Zu der Zeit war der IE7 schon seit 15 Jahren veraltet, dennoch wird in der Industrie noch immer mit alten Windows Installationen gearbeitet. Als Microsoft sein Windows 10 „kostenlos“ unter die Leute gebracht hat, haben sich die Administratoren dieser Industriebetriebe geweigert, weil Microsoft den Fehler gemacht hat, Windows 10 mit umfangreichen Datensammelfunktionen auszustatten. Also wurde lieber weiter auf veraltete Software gesetzt, anstatt sich um ein neues, verhältnismäßig sicheres System einzulassen.

In den meisten Büros wird neben Windows auch Outlook für Mails und Office für Dokumente benutzt. Leider werden auch hier veraltete Versionen genutzt, da Office nun einmal viel Geld kostet und diese veralteten Versionen führen Makros aus und/oder erlauben direkt das öffnen von Dateianhängen per Doppelklick. Neuere Office-Versionen deaktivieren Makros und auch die neusten Outlooks sind ziemlich rigide, was Dateianhänge betrifft.

Open-Source kostet die Firma erst einmal kein Geld und alle Updates kosten eine Firma ebenso kein Geld. Das macht das Update der Software auf neueste Versionen interessant. In der Regel kann ein Linux-Betriebssystem täglich mit Updates ausgestattet werden, ohne mit Problemen zu rechnen. Jede Linuxdistribution unterstützt einen „update“-Befehl, der automatisch wirklich jeden Teil des Betriebssystems mit den neuesten oder stabilsten Programmbibliotheken ausstattet. So wird aus einem alten Libreoffice ohne weiteres Zutun ein brandneues Libreoffice und alle eigenen Dateien bleiben von den Updates unberührt. Oft ist nicht einmal ein Neustart notwendig.

Open-Source ist besser wegen Open-Source

Offene Systeme sind nicht automatisch sicherer. Es gab in der Vergangenheit sogar Fälle von Malware, die über zentrale Server verteilt wurden. Doch offene Systeme erlauben wegen der Quellcode-Sichtbarkeit eine sehr, sehr schnelle Pflege. Es gibt immer mal wieder kleinere Probleme, doch zwischen dem Bekanntwerden und der finalen Behebung einer Lücke vergeht in der Regel weniger Zeit, als es bei Closed-Source ist.

Offene Quellcodes erlauben auch die Anpassung der Systeme an eigene Anforderungen. Ein Hack wie jener von „APT28“ wäre vermutlich wesentlich schwieriger gewesen, wenn schon auf den tiefsten Ebenen (Netzwerk und Host, Systemebene) Anpassungen gemacht worden wären. Diese Anpassungen hätten auf der niedrigsten Ebene des Betriebssystems stattfinden können, jedenfalls in Bereichen, die man bei Closedsource nicht nutzen kann. Ich stelle mir zum Beispiel eine Low-Level-Implementierung eines Hash-Wertes vor, der grundsätzlich nur durch ein generelles Update aller Clients im Netzwerk sicherstellt, dass kein unbekannter Client mit im Netzwerk auftaucht.

Nicht zuletzt sollte man nicht vergessen, dass die Firmen, deren Lohn und Brot Netzwerke sind, auf Open-Source aufsetzen. Amazon, Netflix, Google, Facebook, Apple, Dropbox und auch Twitter verwenden für ihre Infrastruktur Linuxsysteme. All diese Dienstleister geben zumindest Teile ihres Know-Hows auch wieder an die Opensource-Szene zurück. Daher haben wir von Twitter das Bootstrap-Framework und Facebook verdanken wir ReactJS. Google hat die meisten Programmteile von Android veröffentlicht und Amazon bietet eine komplette API zu Alexa an.

Für ein Unternehmen wie Google wäre es unverzeihlich, wenn Userdaten veröffentlicht werden. Man muss Google oder Facebook nicht mögen, aber diese Firmen beschäftigen sich intensiv mit Netzwerksicherheiten und müssen im Grunde genommen Open-Source verwenden, weil sie gar nicht die Möglichkeit haben, potentielle Sicherheitslücken in geschlossenen Systemen selbst zu beheben. Auf Microsoft warten, weil ein Buffer-Overflow in einem TCP/IP-Stack möglich ist? Vergiss es, das beheben wir im Kernel von Linux direkt selbst.

Open-Source ist ethisch

  • Freier Zugriff auf Computer
  • Freier Zugriff auf Wissen
  • Misstrauen gegenüber Autoritäten und Bevorzugung von Dezentralisierung.
  • Hacker sollten nur nach ihrer Fähigkeit beurteilt werden.
  • Du kannst Kunst und Schönheit mittels Computer erzeugen
  • Verbesserung der Welt durch das Verbreiten von Technologien

Der Hack im Bundesregierungsnetz ist vermutlich eine Auftragsarbeit, mit moralischen Gründen kann man das nicht abtun. Doch die meisten Hacker unterstehen einer Ethik. Die Hackerethiken legen zumindest in Teilen fest, was man machen darf und was man nicht machen darf. Aus Hackerethik können ganze Unternehmen werden. Wikipedia basiert auf dem Prinzip, dass das Wissen der Menschheit der Menschheit gehören sollte und uneingeschränkt für jeden verfügbar sein sollte. Ein weiteres Kernkonzept ist, dass man als Hacker die Welt zu etwas besseren machen kann. Hacker sind es, die dafür gesorgt haben, dass Banken höhere Sicherheitsstandards als nur die schnöde Benutzername/Passwort-Kombination nutzen und Hacker haben auch dafür gesorgt, dass Computer zur Erschaffung von Kunst genutzt werden. Die Demoszene ist ein Bereich der Informatik, bei dem aus uralten Homecomputern auch heute noch Webserver gemacht werden können oder bei denen man CD-Qualität aus einem alten C64 zaubert.

Diese Hackerethik ist aber gerade im Bereich Open-Source präsent. Wenn ein Hacker ein Problem in der Software findet, wird er normalerweise den Originalentwickler dieser Software anschreiben und ihn auf ein mögliches Problem hinweisen. Dem Entwickler wird Zeit gegeben, das Problem zu beheben, ansonsten wird das Problem veröffentlicht.

Alternativ sagt der Hacker auch, dass er das Problem selbst bereits behoben hat und er steuert einen Patch direkt im Quellcode bei.

Open-Source ist Geld

Mit Open-Source lässt sich jede Menge Geld verdienen. Unternehmen wie Redhat verdienen mit Open-Source Millionenbeträge und neben Werbung ist Open-Source einer der Hauptposten bei Google. Denn mit Support-Dienstleistungen oder auch Anpassungen nach Kundenwunsch lässt sich viel Geld verdienen. Ein angepasstes Linux für Behörden wurde in München genutzt („LiMUX“) und leider hat München das Projekt aus seltsamen Gründen fallen gelassen, aber diejenigen, die hier Umsetzer waren, haben das sicherlich nicht umsonst gemacht.

Lizenzen wie die GPL (hier mal sehr lesbar) erlauben sogar den Verkauf von Open-Source für jedermann. Ich darf tatsächlich ein Open-Source-Programm auf einen USB-Stick packen und diesen USB-Stick für viel Geld verkaufen. Die einzige Bedingung ist, dass ich den Quelltext dazu lege.

Open-Source ist aber auch Geld, weil man viel sparen kann. Die Programme kosten in der Regel nichts, lediglich der Support müsste theoretisch bezahlt werden. Heute kann aber jeder googlen und findet mal mehr, mal weniger schnell eine Lösung für sein Problem im Forum.

Fazit

Unabhängig davon, was APT28 jetzt gemacht hat, hätte man gerade auf Regierungssystemen auf offene Standards setzen müssen. Es kann einfach nicht sein, dass sich eine Regierung abhängig von einem einzigen Softwaredienstleister macht. Der WannaCry-Hack nutzte eine Lücke im veralteten SMB Protokoll 1 aus. Dieses Protokoll ist auch noch in neueren Windows-Versionen aus Kompatibilitätsgründen vorhanden. Regierungssysteme werden aus Kostengründen oft nicht auf Stand gehalten. Mit kostenlosen Programmen wäre hier so etwas nicht passiert, zumindest nicht in diesem Ausmaß.

Lesezeit: 10:30 Minuten
Linux Hat dir dieser Beitrag gefallen? Dann lass doch ein Vote da! Vote 0
Leider hat hier noch keiner seinen Senf zum Thema abgegeben. Sei du doch der erste. Oder die erste. Oder das letzte.
Ähnliche Posts Auf dem Opennord Linux Kreativ Treffen · Antergos vs Ubuntu Gnome · USB-Soundkarten fuer Linux · Kann Linux auf dem Desktop Windows oder MacOS ersetzen · Musikproduktion unter Linux · Reaper gibt es mittlerweile auch unter Linux · Antergos - falls der Kernel mal nicht will · Battleblock Theater unter Linux und Steam patchen · wie wandel ich Videos in mp3 um · Wie wechselt man auf Linux · Opensource ist einfach viel besser - oder etwa nicht · Linux
login