Debian GNU/Linux sicherstes Linux ?

[Paulus]

Hallo,

Ich bin durch zufall auf die Webseite von prism-break.org gelandet,und da wird zum Beispiel von GNU/LINUX Distributionen abgeraten bzw.sind nicht zu empfehlen,auch wird von
Ubuntu abgeraten,weil es Werbung von Amazon und Datenlücken enthält.

Auch wird proprietäre Software nicht empfohlen,stattdessen empfiehlt prism-break.org freie Software.

Ist es so,das freie Software sicherer sind als proprietäre Software ?

Auch wird eine Alternative zu Firefox empfohlen,Iceweasel,ein Browser für Debian-basierte Linux-Distributions.

Ist die Webseite von prism-break.org zuverlässig und kann man alles glauben was da steht ?

[schwedenmann]

Hallo

Ist es so,das freie Software sicherer sind als proprietäre Software ?

Das ist sowas von Propanga der OSS Jünger, da kann ich gar nciht soviel Essen, wie ich Kotzen müßte.

Es kommt auf die Codequalität an und da es es zienlich egal, von wo der Code kommt, wenn ein Idiot Opensource-Code schreibt ist der Mist, umgekehrt genauso.
man sollte das Thema Sicherheit nicht so mit den OSS Scheuklappe betrachten. Jede SW hat bugs, läßt sich wohl nicht vermeiden.


mfg
schwedenmann

[Paulus]

Ist also vieles was prism-break.org schreibt übertrieben ?

[thoerb]

Hallo,

Ich bin durch zufall auf die Webseite von prism-break.org gelandet,und da wird zum Beispiel von GNU/LINUX Distributionen abgeraten bzw.sind nicht zu empfehlen

Wo denn?

Ich zitiere das hier mal richtig:

Warum nicht Ubuntu?
Ubuntu wird nicht von PRISM-Break vorgeschlagen, weil es standardmäßig Werbung von Amazon und Datenlücken enthält und somit Daten an Dritte sendet. GNU/Linux-Distributionen, welche auf Ubuntu basieren, sind ebenfalls nicht zu empfehlen, aus einigen anderen Gründen.

https://prism-break.org/de/categories/gnu-linux/

[dufty2]

Bin da anderer Ansicht.
OSS kann sehr wohl sicherer / weniger bug-behaftet sein, falls genügend Leute mit genügend Wissen/Können genügend oft drüber schauen.
Aber da ist auch schon die Krux begraben, denn es müssen sich erstmal soviele finden, die das dann auch wirklich tun.

Bugfreie/verifizierte Software gibt es schon, ist halt extrem aufwendig.
Und so wirst Du auf einen z. B. seL4 als Desktop-system noch einige Jährchen warten müssen ...

[hikaru]

Ist es so,das freie Software sicherer sind als proprietäre Software ?

Bei Antworten auf diese Frage wird meist noch die Antworten auf eine andere Frage hineingemengt und dann kommt natürlich Unsinn heraus, der zur Propaganda wird, wenn man damit argumentiert.

Deine Frage lässt sich prinzipiell nicht beantworten, so wie du sie stellst, denn die Sicherheit* ist keine Frage des Codezugangs.
Die andere Frage die da oft noch mitschwingt ist die, ob FLOSS vertrauenswürdiger ist als proprietäre Software, also ob du mehr Grund hast auf die Sicherheit von FLOSS zu vertrauen oder nicht. Auch die lässt sich so nicht beantworten, aber das ist zumindest kein prinzipielles Problem.

FLOSS hat hier einen theoretischen Vertrauensvorteil, denn es liegt in deiner Hand die Sicherheit zu überprüfen. Du kannst höchstpersönlich den Code nach Sicherheitslücken durchsuchen, odrer, wenn du das nicht kannst oder willst jemanden deiner Wahl, dem du vertraust damit beauftragen.
Ob aus diesem theoretischen auch ein praktischer Vorteil wird hängt davon ab, ob sich auch wirklich jemand (mit der nötigen Qualifikation) auf den Hosenboden setzt und die Software überprüft.

Ist die Webseite von prism-break.org zuverlässig und kann man alles glauben was da steht ?

Wenn man an dem Punkt angelangt ist, sich auf prism-break.org zu beziehen, dann sollte einem eigentlich klar sein, dass man letztendlich keinem alles glauben kann.
Daher gilt auch hier das selbe Prinzip wie oben: Glaube nur Dinge die du überprüfen kannst und letztendlich auch zumindest stichprobenartig überprüft hast.

Ist also vieles was prism-break.org schreibt übertrieben ?

Diese Frage zu beantworten ist deine Hausaufgabe.
In Anbetracht dessen, wofür prism-break.org steht sollte sich ihre Arbeitsweise nachvollziehen lassen. Du solltest also anhand ihrer Quellen in der Lage sein können, dir diese Informationen selbst zu beschaffen.


*) ich interpretiere das als das absichtliche und/oder unabsichtliche Vorhandensein von Schwachstellen die zu Angriffen taugen.

[Limux]

Wozu braucht diese Seite einen JavaScript? Alle Buttons sehen nach [F0SE], nicht besonders vertrauenswürdig.

Zu Debian schreiben die

Hinweis: Die Verwendung der hier empfohlenen Software allein kann keinen 100%igen Schutz ... forsche selbst nach, bevor Du dieser Software sensible Informationen anvertraust.

Den Hinweis hätte man sich sparen können, der sagt alles und gleichzeitig nichts aus.

[RobertS]

Hallo,

Ich bin durch zufall auf die Webseite von prism-break.org gelandet,und da wird zum Beispiel von GNU/LINUX Distributionen abgeraten bzw.sind nicht zu empfehlen…

Nach kurzem Drüberschaun, wo wird von GNU/Linux abgeraten?

Grüße

Robert

[Paulus]

da steht,GNU/Linux-Distributionen, welche auf Ubuntu basieren, sind ebenfalls nicht zu empfehlen,

[DeletedUserReAsG]

So macht’s ja auch Sinn. Im Eingangsbeitrag hattest du es noch so formuliert, dass GNU/Linux-Distris generell nicht empfohlen würden.

Ansonsten: man kann auch die sicherste Distri unsicher konfigurieren, und die unsicherste Distri absichern. So what?

[uname]

Gegen wen will bzw. kann man sich schützen. Ich denke die Entscheidung gegen Windows eleminiert aktuell mehr als 99% aller Consumer-Schadcodes. Vielleicht nicht die Sicherheitslücke selbst aber die daraus resultierende Aktion wie Virus, Trojaner, ...

[wanne]

Ist es so,das freie Software sicherer sind als proprietäre Software ?

Prinzipiell nicht. Aber es gibt schon ein paar Gründe warum freie Software eher sicher ist:
Properitäre software ist typischerweise von wenigen Einsehbar, mit Gewinnabsicht von einer großen Firma hergestellt. Das hat volgende Implikationen.

Von Wenigen Einsehbar:
Prinzipiell ist das für praktisch kein OSS der Fall, außer für welche, die nur an extrem wenige Geliefert wird.
Proprietäre SW ist aber auch nicht immer nur von wenigen einsehbar. Microsoft lässt beispielsweise praktisch jeden der nach Sicherheitslücken suchen will in seine Software schauen. Viele andere bezahlen sogar Reviews um so Sicherheitslücken finden zu lassen.

• Mehr Augen sehen mehr. Wenn das ganze von mehr angeguckt werden kann, gucken hoffentlich auch mehr und finden mehr Sicherheitslücken. Für viele kleinere Projekte ist das aber auch wenn sie OSS sind nicht der Fall.
• Wer seinen Code veröffentlicht, zeigt damit Erstmal dass er nichts zu verbergen hat. (Also keinen scheißcode oder absichtlich eingebaute Sicherheitslücken.) Wer das glaubt sollte aber mal in openssl oder die AGB seines Mobilfunkproviders gucken. Defakto hoffen genug, dass da keiner Reinguckt oder haben wie ich gar die Hoffnung, dass irgend jemand mal aufräumt.
• OSS kann mehr oder minder von jedem angeguckt werden. Alle zu bezahlen, eine Sicherheitslücke nicht aufzudecken wird relativ schwer.

Mit Gewinnabsicht hergestellt:
Das gilt für praktisch alle proprietäre SW. Aber auch für viele OSS. Trotz allem werden die aller meisten Gutmenschen wie Werner Koch, die vor allem daran interessiert sind sichere Software zu schreiben eher den OpenSource weg wählen. Hier gilt aber: Wer gerne Geld an seiner SW verdient, würde wohl gerne auch mehr verdienen.

• Und sauberen Code zu schreiben und in dann nochmal überprüfen zu lassen ist teuer. Meist viel teurer als das Bekanntwerden einer Sicherheitslücke. Wir hatten eine Vorlesung IT-Sicherheit bei jemand,d er hauptberuflich bei einem sehr Großen deutschen unternehmen arbeitet und da haben wir erstmal massenhaft Kosten/Nutzen ausgerechnet. Für Industrieanlagen ist ein einbruch höhere Gewalt, und die meisten Standard Consumer haben nach einer Woche vergessen. Da folgt kein nennenswerter Imageverlust. Lediglich Firmen, die ihre Entwicklungen geheim halten wollen sind da wirklich interessiert. Bestes Beispiel ist Adobe: Obwohl es schon immer die am erfolgreichsten angegriffenen Produkte verkaufte, hat sich der Unternehmenswert in den letzten 5 Jahren verdreifacht.
• Wer schon Geld verdient lässt sich vielleicht eher mit mehr Geld bestechen, aber vor allem einfacher erpressen: Wenn die NSA sagt, mir machen den laden morgen dicht, wenn du nicht ein Backdoor schaffst, dann macht man da vielleicht eher mit, wenn die existenz daran hängt.
• Auch legal lässt sich mit Überwachungsschnittstellen dick Geld verdienen. (DRM, Versicherungen, Werbung). Entsprechend oft werden die dann eingebaut.

Das diese Puntke ziehen merkt man auch im Umgekehrten OSS hat zwar meistens viel Funktionalität, weil der Entwickler da selbst dran Vorteile zieht aber intuitiv ist für in alles, was er selbst geschrieben hat. Da interessieren sich die meisten wenig für, solange sie da keinen Gewinn daraus schlagen können.

Von einer großen Firma hergestellt:
Betrifft fast alle SW die auch oben betroffen ist. Es hat aber noch weitere Implikationen:

• Wer eine Firma leitet hat nicht nur für sich selbst sondern auch für seine Mitarbeiter und Aktionäre Verantwortung. Wie Lavabit als letzte Option einfach hinwerfen statt einen unsicheren Dienst anzubieten geht da nicht so einfach. (Sogar rein rechtlich nicht.)
• Wer nur angestellter in einer Firma ist hat weniger Eigeniteresse sauberen Code zu schreiben. (Dafür aber einen Vorgesetzten über sich der ihm dann gegebenenfalls die Hölle heiß macht. Was da wirksamer ist, ist jetzt fraglich.)

[TuxPeter]

Hi, interessante Diskussion!

Ich denke, dass die Grundsatzentscheidung für die Unübersichtlichkeit und Unsicherheit moderner Software quasi unbewusst und naturwüchsig gefallen ist (natürlich unter dem Banner von Fortschritt und Bequemlichkeit) indem man eine unübersehbare Vielzahl von Möglichkeiten geschaffen hat, wie Executables unkontrolliert gestartet werden können. Ich habe einmal vor Jahrzehnten gelernt, dass der Programmfluss und der Datenfluss streng zu trennen ist, was immer das heute im Zeitalter der Objekte bedeuten könnte.

Von Joseph Weizenbaum (von dem die köstliche und enthüllende Verarsche namens "Eliza" stammt) hat schon vor vielen Jahren als "Informatik-Dissident" seine Überzeugung geäußert von der Unbeherrschbarkeit komplexer Informatik-Systeme.

Wir sollten lernen, damit zu leben und die möglichen Schäden gering zu halten.
Vom Mythos der grenzenlosen Machbarkeit loskommen.

Was nun die Sicherheit von OSS betrifft, so mag sie vor allem deshalb sicherer sein, weil grundsätzlich Monokulturen leichter von Schädlingen befallen werden als hübsch gepflegte kleine, unterschiedliche Parzellen - um es mal mit diesem landwirtschaftlichen Bild zu sagen.

Andrerseits können von interessierter Seite in locker verbundene, weltweit verstreute Arbeitsgemeinschaften jederzeit Bösewichte eingeschleust werden - auch da ist man halt offen...

Übrigens: Nie im Leben würde mir einfallen, mit Windows online banking zu betreiben.

Grüße, TuxPeter

[wanne]

Andrerseits können von interessierter Seite in locker verbundene, weltweit verstreute Arbeitsgemeinschaften jederzeit Bösewichte eingeschleust werden - auch da ist man halt offen...

Die Snowden Enthüllungen zeigen, dass es gerade andersherum ist. In ein kommerzeilles Projekt lassen sich ohne Problem "Bösewichte" einschleusen. Man muss nur einem der Tausenden von Mitarbeitern etwas mehr zahlen, als der Arbeitgeber. (Und wenn das der Staat macht, haben die Leute auch nichts zu befürchten.) Bei vielen OSS Projekten steht dagegen oft eine sehr kleine anzahl von (meist ziemlich totaliären) Entwicklern oben und will alles nochmal kontrolliert haben. Das tötet jede Änderng (die keine reine Erweiterung ist.) aber hält einem sowas relativ oft vom Leib. Openssl zeigt aber dass das nicht vollständig funktioniert. Da guckt auch immer nochmal ein sehr kleiner Kreis drüber und trotzdem kam Hartbleed. Allerdings ist OpenSSL eben auch gerade deswegen so beliebt, weil die jeden scheiß, der irgend jemand nützlich sein könnte zulassen.

[TuxPeter]

Hi, wanne,

an OpenSSL hatte ich auch gedacht.
Auch an diese merkwürdige beinahe krankhafte Mischung aus Größen- und Verfolgungswahn, die ich in gewissen politischen Kreisen vereinzelt kennengelernt habe, also jetzt nicht in IT-Zusammenhängen.

Aber ich finde, Deine Gegenargumente haben auch was für sich.

[uname]

Ich möchte noch ein Argument für Open Source anbringen. Durch den freien Quellcode kann man recht einfach Codeänderungen ermitteln. Ich selbst mache das zwar nicht aber es wird bestimmt Anwender geben, die das machen. Wobei beim openSSL-Bug haben es vielleicht auch die Geheimdienste gemacht und somit wussten sie vielleicht schon viel früher von der Sicherheitslücke. Proprietären Code zu vergleichen kann man jedoch vergessen. Und das Microsoft z.B. Code der EU bereitstelltst wohl auch nur ein schlechter Witz.

[owl102]

Und das Microsoft z.B. Code der EU bereitstelltst wohl auch nur ein schlechter Witz.

...zumal man sich als Pointe auf das mündliche Wort von Microsoft verlassen muß, daß dies wirklich der Code ist, der zum Einsatz kommt. Und ich glaube nicht im geringsten, daß man sich dort tatsächlich Dinge wie NSAKEY im Quelltext anschauen kann.

[schwedenmann]

Hallo

...zumal man sich als Pointe auf das mündliche Wort von Microsoft verlassen muß, daß dies wirklich der Code ist, der zum Einsatz kommt. Und ich glaube nicht im geringsten, daß man sich dort tatsächlich Dinge wie NSAKEY im Quelltext anschauen kann.

Kanst du diese Behauptung beweisen ?
Ansonsten kann der Quellcode von MS schon eingesehen werden, nur nicht von allen.

Und das allen den Quellcode einsehne können. ist keine Garantie dafür, das das auch geamcht wirds, geschweige, das dfann was gefunden wird. Code lesen ist eine Sache, ihe zu verstehen und bugs zu finden ist doch eine ganz andere Sache, davon ab, selobst bei Großprojekten (kernel, gnome, apahe,e tc) kennt doch keienr der Entwickler den gesamten Code, wie soll da ein Code-review durch eine Person (das eird ja von den OSS-Jünern immer postuliert wenn sie vom durch jeden lesbaren Quellcode reden) irgend etwas relevantes zu Tage fördern ?

Für mich ist die Aussage OSS ist sicherer weil der Quellcode offenliegt und jeden ihn lesen und bugs melden kann ein Mythos. Ach und noch eins, man könnte auch arguemnteren, das ein offener Quellcode eher schäflich ist, weils Hacker, böse Schlapphüte so eher an zero-day Lücken kommen, als bei proprietärer SW.

Und das Opensource Entwickler immun gegen Offerten von NSA ud Konsorten sei, ist sowas von neben der Spur, nat. kann man Opensourcecode verändern an der Quelle und keiner würde es merken.

mfg
schwedenmann

[owl102]

Kanst du diese Behauptung beweisen ?

Ich soll etwas, wo ich explizit "ich glaube" geschrieben habe, beweisen?

Und das allen den Quellcode einsehne können. ist keine Garantie dafür, das das auch geamcht wirds, geschweige, das dfann was gefunden wird.

Eine Garantie nicht, aber eine Grundvoraussetzung.

[obreien]

Hallo zusammen,

Auch wenn evtl. ein wenig am Thema vorbei.

Der größte Unsicherheitsfaktor sitzt immer noch vorm PC.

Also den Vorteil sehe ich auch darin das viele den quellcode prüfen und fehler melden.

Auch ein großer Vorteil ist, das man sein system individuell konfigurieren kann, je nach nutzungszeck oder auch hardware Voraussetzung.

Ich kämpfe noch mit linux aber will auf auf dauer weg von win