x
Ihr Ad-Blocker ist aktiviert
Bitte schalten Sie für diese Webseite den Ad-Blocker und den Schutz vor Aktivitätenverfolgung aus.

So gut schläft man mit Open Source

So gut schläft man mit Open Source

Artikel erschienen in IT Magazine 2014/01
Seite 1
9. Februar 2014 -  Von Dr. Marcus Holthaus

Im Zusammenhang mit Open Source Software wird viel über Unabhängigkeit und Kosten diskutiert. Nur selten wird über das Thema Security gesprochen. Doch wie sicher ist OSS?
So gut schläft man mit Open Source
Ausschnitt aus dem Source Code des aktuellen Linux-Kernels für Disk Encryption (cryptoloop.c). Wer versteht die paar Zeilen? (Quelle: IMSEC)
Wenn ein Schüler bei der Lösung einer Prüfungsaufgabe den falschen Lösungsweg wählt, aber dennoch das richtige Ergebnis erzielt, soll er dann vom Lehrer die volle Punktzahl für seine Lösung erhalten oder nur einen Teil oder gar keine Punkte? Das hängt davon ab, wie die Prüfung aufgesetzt wurde: Im «Multiple Choice»-Stil zählt nur das richtige Ergebnis – also der Effekt – während bei der Beurteilung nach Verständniskriterien auch dann eine hohe Punktzahl möglich ist, wenn der Algorithmus richtig, das Rechenergebnis aber falsch ist. Den Lösungsweg zu evaluieren ist für den Lehrer aber ungleich aufwendiger, als nur das Ergebnis zu prüfen.
Bei der Diskussion über Softwarequalität ist das ähnlich. In der Regel sind wir nur am offensichtlichen Effekt interessiert, den die Software auslöst – das mag ein Rechenergebnis sein oder eine Übermittlung oder aber das Auslesen einer Datenbank zur Erstellung eines Berichts. Wir sind nur selten an den Seiteneffekten interessiert, also an denjenigen Aktivitäten, die ein Programm zusätzlich durchführt, beispielsweise der Übermittlung von statistischen Daten an den Softwarehersteller, oder der Abfrage ganzer Verzeichnisbäume aus dem angeschlossenen Active Directory, wenn doch nur einzelne Zugriffe notwendig wären.

Wenn wir solche unerwünschten Abweichungen vermuten, können wir ein Programm «unter Quarantäne» stellen, also im Sinne einer «Black Box»-Prüfung alle Ein- und Ausgänge beobachten. Dennoch werden wir so nie feststellen können, ob es sich beim verdächtigen Verhalten nur um einen Programmierfehler oder um eine absichtliche Fehlfunktion handelt, und auch in Quarantäne sind wir darauf angewiesen, dass die unerwünschten Funktionen aktiv werden, um sie überhaupt beurteilen zu können. Wenn wir wirklich wissen sollen, was in einem Programm vorgeht, benötigen wir den Source Code, und müssen ihn analysieren.
 
Seite 1 von 4
Nächste Seite

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2020/04
Schwerpunkt: IT-Security im KMU
• Was kostet die (sichere) Cyber-Welt?
• Kleine Massnahmen für maximale Sicherheit
• Sicherheit ist eine Frage des Risikohungers
• «Absolute Sicherheit gibt es im Cyber-Bereich einfach nicht»
• Cyber-Versicherungen für Schweizer KMU
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER