Keine perfekte Lösung …
Leider ist die Anzahl jener, die entsprechende Kenntnisse haben, um Open Source Software zu prüfen begrenzt, was wiederum bedeutet, dass die überwiegende Anzahl der Software unter dieser Lizenz nicht kontrolliert wurde.
Erschwerend kommt noch hinzu, dass viele Open-Source-Programme extrem komplex sind, tausende Zeilen Code beinhalten und bei einer Überprüfung – die ohnehin enorm Aufwändig wäre – schnell Fehler übersehen werden können. Das ist speziell dann der Fall wenn bösartiger Code absichtlich verschleiert wurde.
Aber…
Aus diesem Grund garantiert Open Source nicht, dass das Programm “sicher” ist, stellt aber die zurzeit beste Garantie dar, dass dies der Fall ist. Die Alternative – closed source – bietet keinerlei Garantie.
Open Source Programme immer verifizieren
In Sachen Sicherheit klingt Open Source großartig! Aber wie kann man sicherstellen, dass das gerade heruntergeladene Open Source Programm nicht auf irgendeine Art und Weise manipuliert oder verändert wurde?
Das mag wie eine paranoide Vorstellung klingen, aber im Februar 2016 wurde die Internetseite einer der populärsten Linux Open Source Versionen – Linux Mint – gehackt und eine veränderte Version des Betriebssystems zum Download angeboten.
“Diese Hacker haben eine modifizierte Version des Linux Mint ISO mit einer Hintertüre erstellt und dann die Downloadlinks der offiziellen Internetseite dorthin verwiesen.”
Die infizierte Version des Linux ISO installierte das Betriebssystem vollständig mit einem Chatprogramm, über welches es den Hackern dann möglich war auf das System der Benutzer zuzugreifen. Die Gefahr ist also allgegenwärtig.
In diesem Fall haben User, die vor dem Download das Programm verifiziert haben sofort den Täuschungsversuch bemerkt. Die Verifizierung ist mittels der Prüfsumme geschehen, stellt aber noch immer keine sichere Lösung dar, denn wenn die Webseite gehackt wurde ist stellt es nur noch einen geringen Mehraufwand dar auch die Prüfsumme zu ersetzen.
Sicheres Downloaden? Dazu gehört auch eine sichere Internetverbindung. Mit einem kostenlosen Proxy ist das ohne weiteres möglich.
Viel sicherer ist es wenn Entwickler die Software digital signieren, sodass es Benutzern möglich ist den Ursprung einer Datei zu verifizieren. Im Idealfall ist jede Art von Software digital signiert und verifiziert, aber gerade bei Open Source ist dies wichtig, da der Code öffentlich einseh- und veränderbar ist.
Fazit
Open Source ist keine perfekte Lösung, stellt aber zumindest die beste (und einzige!) Garantie dar, dass die Software vertrauenswürdig ist. Die Alternative (closed source) kann dies nicht garantieren und verlangt blindes Vertrauen in den jeweiligen Entwickler.