Heft 4/16 - Wer treibt was im Heimnet - Wireshark

Wie steht es eigentlich um die Sicherheit des Tools selbst? Wurde hier schon "geprüft" ob dieses Tool evtl. Mitschnitte an irgendwelche Server überträgt? Theoretisch wäre dies ja möglich...
Damit hätte ich ja dann "freiwillig" einen Trojaner installiert

 

Theoretisch kann sich jeder den SourceCode nehmen und nachschauen, wie das Tool funktioniert.
Wenn schon der Quelltext frei erhältlich ist, hat da wohl kaum jemand etwas zu verstecken.

 

...aber wer sagt mir dass der kompilierte Code wirklich dem SourceCode entspricht?
Das ist aus meiner Sicht auch das Problem an OpenSource. Jeder verlässt sich darauf, dass die vorkompilierten Pakete inhaltlich dem entsprechen, was als SourceCode zur Verfügung gestellt werden. Kein Mensch dekompiliert solche Pakete und prüft dann dessen Inhalt. Auch das Kompilieren und Vergleichen via Hash-Werte ich eigentlich unmöglich da man ja genau die gleiche Version des Compilers, der Libraries und der gleichen Comp.Parameter verwenden muss.
Einzige Möglichkeit wäre den Code zu prüfen (oder darauf zu verlassen, dass das schon jemand gemacht hat) und dann selbst die Binaries zu kompilieren...

 

Genau so wird das aber vielfach gemacht.

 

Ist nicht so, dass ich deinen Gedanken nicht folgen könnte oder wollte. Ein gewisser Grad an Skepsis ist nie verkehrt....

Keiner würde ich nicht sagen. Es wird sicherlich interessierte Leute geben, die das tun. Nur die Regel sieht eben anders aus.
Liegt aber sicherlich auch daran, dass sehr viele User nicht einmal wissen, wie sie einen Compiler benutzen müssen....
(Das trifft vor Allem dort zu, wo Windows eingesetzt wird. Langjährige Linux-User bevorzugen das "Selbst kompilieren" sehr häufig - zumindest in meinem bescheidenen Bekanntenkreis.)

Es steht dir frei, dies nach Belieben zu tun. Man ist ja nicht dazu verpflichtet, die vorkompilierten Pakete zu verwenden.
Damit kann man dann nicht nur ausschliessen, dass inhaltliche Unterschiede zwischen Quellcode und fertigem Programm existieren, sondern hat das Programm dann auch perfekt auf seinen Rechner zugeschnitten.

 

Wo kann ich das nachlesen/prüfen? An vertrauenswürdige Quellen wäre ich sehr interessiert

 

Das ist auch die einzige Usergroup der ich das zutraue.

 

z.B.
http://www.heise.de/security/meldung/Der-Weg-zu-einem-verlaesslicheren-TrueCrypt-1982154.html
Das ist so ein Fall, wo es extrem schwer war, alle Schritte exakt nachzuvollziehen, weil der Autor von Trucrypt schon recht exotische oder veraltete Versionen genutzt hat.
Aber es ist nunmal der einfachste Weg, wenn die nötigen Teile und deren Versionen bekannt und verfügbar sind.
Wie man fertige Binaries auf Gleichheit überprüft, sollte Google hoffentlich reichlich ausspucken.

 

Nur fertige Binaries mit den Hash-Werten zu prüfen ist ja nichts besonders und ist mir ebenfalls bekannt. Das bringt in Bezug auf Sicherheit aber nichts, da die Hash-Werte ja vom Entwickler selbst zu den Binaries bereitgestellt werden. Mir geht es eher um eine vertrauenswürdige "Quelle" die quasi selbst kompiliert und damit die bereitgestellten Binaries gegenprüft. So etwas finden man aber wohl eher auf Linux-Seite...
Da es aber, wie bereits erwähnt, wohl ein Ding der Unmöglichkeit ist (Version des Compilers, Libraries, Parameter,...) bleibt einem eben doch nur übrig (außer man kompiliert eben selbst), dem Entwickler zu vertrauen und auch diese auch nur bei ihm zu beziehen (siehe auch "FileZilla-Trojaner", SourceForge-Adware, ...)

 

Ich meinte: fertige bin vom Entwickler nehmen und mit der selbstkompilierten Version vergleichen.
Das muß eine vertrauenswürdige Institution mal machen und die Hash-Werte zur Verfügung stellen.
Notfalls kann man ja den Autor mal bitten, auf verbreitete und aktuelle Versionen zu setzen bei der Erstellung seiner bins.

 

Aber auch das ist ja quasi nicht umsetzbar da man ja oft nicht genau weiß, welchen Compiler (Version,...) und Lib-Version er verwendet hat. Die kleinste Abweichung führt zu einem komplett anderen Hash-Wert....

 

Sagen wirs mal so: Wer will, dass man seiner Software vertraut, sollte sowas angeben.