-- La función didáctica del historiador está en enseñarle a toda época que el mundo no comenzó con ello. - Nicolás Gómez Dávila, Escolios a un Texto Implícito
Als Nicht-Informatiker kann ich das nicht beurteilen: Was könnten die Russen mit dieser Kenntnis anrichten? Haben auch schon andere Staaten den Quellcode bekommen? Wer kennt ihn überhaupt?
Also ich bin auch kein Informatiker, aber im Quellcode sind ja sämtliche Informationen, wie ein Programm funktioniert, wie es arbeitet. Da hat man auch sämtliche Sicherheitslücken fein säuberlich vor sich liegen. Insofern kann ich mir da schon das Eine oder Andere vorstellen, was die Russen damit machen könnten.
Auf aggressiver Seite das Finden und Ausnutzen von Sicherheitslöchern, schließlich ist Windows z.B. in der Marine der NATO weit verbreitet, aber auch andere wichtige Infrastruktur läuft damit.
Ebenso wird man sicherstellen wollen, daß keine Hintertüren die eigene Infrastruktur angreifbar machen. Gerüchte um Zugriffsmöglichkeiten der NSA halten sich z.B. hartnäckig. Die Chancen, eine solche Hintertür durch Code-Inspection zu finden, sind allerdings denkbar schlecht. So hat es einige Zeit gedauert, bis dieser Versuch, eine Hintertür im Linux-Kern einzubauen, verstanden wurde, und da kannten die Entwickler die genaue Position (Datei und Zeilennummer) des Hacks. Bei den relevanten Microsoft Quellen dürfte es sich um weit über 100 MLOC handeln.
Prinzipiell sollte das kein Beinbruch sein - wenn der Code gut ist. Der Linux-Kern ist zB für jeden im Quellcode lesbar und trotzdem lassen sich auf dieser Basis sehr sichere Systeme aufbauen.
Leider ist das bisher von MS praktizierte "security by obscurity" nicht gerade ein Garant für guten Code. Allerdings halte ich es durchaus für möglich, daß Microsoft aus seinen früheren Fehlern gelernt hat und sorgfältiger arbeitet.
Sollte dem nicht so sein, ist es natürlich ein Problem, daß der russische Geheimdienst damit einen potentiellen Informationsvorsprung vor den sonstigen Kunden hat - zB im Bereich Industriespionage.
Na und, den Windows Code kann jeder einsehen der eine NDA unterschreibt und Microsoft ein bißchen Geld dafür gibt. Ist im Prinzip auch Sch...egal. Wer geheime Daten auf öffentlich zugänglichen Rechnern abspeichert ist selbst dran Schuld. Und wenn der Zugang richtig geschützt ist, also die Daten und Passwörter nur verschlüsselt übertragen werden, und ein Firewall verwendet wird (keine lokale), ist es eigentlich auch egal wenn der verwendete code bekannt ist.
Wer seinen Rechner an ein öffentliches Netz hängt und auf Security by Obscurity vertraut, macht das gleiche wie jemand der seinen Schlüssel unter der Fußmatte aufbewahrt.
Da würde ich mir mehr Gedanken über Android, IPhone und co machen. Dort ist der Quellcode weitestgehend bekannt und die Geräte werden überall ohne große Sicherheitsmaßnahmen verwendet.
Und das Mr. Schneider das alles sehr bedenklich findet ist auch klar. Der will halt noch ein paar Beraterverträge und AV Software verkaufen. Würd ich auch nicht anders machen, wenn ununterbrochen jemand mit niemand zu großen Geldbeutel bei mir anklopft.
Bruce Schneier verkauft keine Anti-Viren-Software und er hat auch beruflich eher auf anderen Gebieten zu tun. Er vertritt auch eine ganz andere Sicherheitsphilosophie als Microsoft und ich kann mir ehrlich gesagt nicht vorstellen, dass er sich als Experte für Windows-Systemsicherheit profilieren will.
Ich bin trotzdem überrascht über diese Reaktion. Man kann davon ausgehen, dass der russische Geheimdienst genügend über den Windows-Quellcode weiß. Warum er das für »keine gute Idee« hält, was doch eher eine symbolische Maßnahme ist, wird mir nicht ganz klar. In seinem Blog hat ein Kommentator gefragt: »Warum?« — warten wir mal ab, was er antwortet.
Bitte beachten Sie diese Forumsregeln: Beiträge, die persönliche Angriffe gegen andere Poster, Unhöflichkeiten oder vulgäre Ausdrücke enthalten, sind nicht erlaubt; ebensowenig Beiträge mit rassistischem, fremdenfeindlichem oder obszönem Inhalt und Äußerungen gegen den demokratischen Rechtsstaat sowie Beiträge, die gegen gesetzliche Bestimmungen verstoßen. Hierzu gehört auch das Verbot von Vollzitaten, wie es durch die aktuelle Rechtsprechung festgelegt ist. Erlaubt ist lediglich das Zitieren weniger Sätze oder kurzer Absätze aus einem durch Copyright geschützten Dokument; und dies nur dann, wenn diese Zitate in einen argumentativen Kontext eingebunden sind. Bilder und Texte dürfen nur hochgeladen werden, wenn sie copyrightfrei sind oder das Copyright bei dem Mitglied liegt, das sie hochlädt. Bitte geben Sie das bei dem hochgeladenen Bild oder Text an. Links können zu einzelnen Artikeln, Abbildungen oder Beiträgen gesetzt werden, aber nicht zur Homepage von Foren, Zeitschriften usw. Bei einem Verstoß wird der betreffende Beitrag gelöscht oder redigiert. Bei einem massiven oder bei wiederholtem Verstoß endet die Mitgliedschaft. Eigene Beiträge dürfen nachträglich in Bezug auf Tippfehler oder stilistisch überarbeitet, aber nicht in ihrer Substanz verändert oder gelöscht werden. Nachträgliche Zusätze, die über derartige orthographische oder stilistische Korrekturen hinausgehen, müssen durch "Edit", "Nachtrag" o.ä. gekennzeichnet werden. Ferner gehört das Einverständnis mit der hier dargelegten Datenschutzerklärung zu den Forumsregeln.