Die operative Hektik angesichts der Heartbleed-Lücke bei OpenSSL
legt sich langsam. Ein Großteil der Server scheint gepatcht zu sein
und diverse Zeitungen wie andere Medien bringen zur Prime-Time
Warnungen an die Nutzer. Jetzt beginnt die Zeit der Spekulation,
woher der Bug kommt, ob der absichtlich eingebaut wurde und es wird
auch die Frage diskutiert, ob Open Source sicherer bzw. besser als
Closed Source ist.
Auf der einen Seite steht u.a. Linus’ Law als Argument. Der
Erschaffer von GNU/Linux wird mit dem Spruch »Given enough eyeballs,
all bugs are shallow« zitiert. Das heißt, wenn nur genügend Leute
einen Blick in den Quellcode werfen, so wird jeder Bug gefunden und
am Ende ist die Software »rein«. Am Beispiel des Linuxkernel ist zu
sehen, wie gut das Modell funktioniert. Allerdings gibt es eine
Reihe von anderer Open-Source-Software, wo offensichtlich niemand
einen Blick in den Quellcode wirft. Dort bleiben dann zahlreiche
Fehler unentdeckt. Das ist dann auch gleich das Argument der
Befürworter von Closed Source. Denn dort bekommt niemand den Code zu
sehen und kann daher auch keine Fehler finden. So lautet die etwas
vereinfachte Argumentation.
Forscher vom Lehrstuhl für Betriebssysteme der TU Dresden haben sich
dieser Frage im Jahr 2010 genähert. Für ihre Veröffentlichung The
Mathematics of Obscurity: On the Trustworthiness of Open Source
schufen sie ein Modell, in dem verschiedene Personen versuchen,
Schwachstellen in Code zu finden. Wenn die Verteidiger zuerst sind,
können sie die Lücke schließen. Die Angreifer haben auf der anderen
Seite eine Lücke, über die sie ins System eindringen können.
Das Modell widerspricht dem obigen Gesetz von Linus Torvalds. Das
Modell erbringt die Aussage, dass die Angreifer bei Open Source
immer leicht im Vorteil sind. So nehmen die Forscher an, dass bei
einem Open-Source-Projekt die Verteidiger in 6 von 10 Fällen einen
Fehler vor dem Angreifer finden. Je nach den weiteren Modellannahmen
braucht das Projekt mehr als Tausend oder gar mehr als Zehntausend
Mitwirkende. Für den Fall, dass sogar in 9 von 10 Fällen der Fehler
von den Verteidigern gefunden wird, können die Forscher zeigen, dass
dies unmöglich ist. Alles in allem erscheint Closed-Source-Software
besser aufgestellt zu sein.
Jedoch sagen die Forscher weiter, dass sie hier einen eingegrenzten
Aspekt betrachten. In der Realität beheben die Hersteller von Closed
Source die Fehler nicht sofort. Außerdem gibt es dort
wirtschaftlichen Druck, Programme zu einem festen Datum
herauszubringen. Dies führt dann dazu, dass die Programme nicht
getestet sind. Alldies bringt die Forscher zu der Meinung, dass
Open Source in der Gesamtschau vermutlich doch Vorteile mit sich
bringt. Letztlich bringt gerade Freie Software die Vier Freiheiten
mit.
Alles in allem kann ich nur nochmal den Aufruf aus meinem letzten
Eintrag wiederholen. Nutzt Freie Software, schaut in den Quellcode
oder versucht anderweitig zu der Software beizutragen. Damit helft
ihr allen!