Open Source im professionellen Einsatz
Linux-Magazin 12/2015

Kann Open Source verhindern, dass Software, die betrügerische Routinen enthält, benutzt wird wie bei VW?

Dank Offenheit kein Betrug

,

Ja, offene Firmware kann ein Mittel gegen Betrügereien sein, sagt Kristian Kißling. Im Fall von VW wären die Forscher wohl schneller auf die Manipulationen gestoßen. Da nicht zuletzt konkurrierende Firmen Interesse am Sourcecode zeigen könnten, wäre es fraglich, ob VW den Betrug so durchgezogen hätte.

Nein, sagt Jens-Christph Brendel. Wer betrügen will, der verabschiedet sich ja gerade vom Fair Play. Selbst wenn er scheinbar freie Software benutzt, wird er eben eine saubere Version veröffentlichen und tatsächlich eine manipulierte verwenden. Doch selbst wenn er wider alle Logik ehrlich wäre: Es nützte nichts.

707

Alle drei Jahre überprüft das amerikanische Copyright Office die Regeln des Digital Millennium Copyright Act (DMCA) und lässt sich Kommentare dazu schicken. Das ist im Gesetz selbst verankert, aktuell stehen wieder Punkte zur Diskussion [1]. Fahrzeugbesitzer sollen künftig die technischen Schutzmaßnahmen umgehen dürfen, um ihre Autos im Rahmen der Gesetze selbst zu reparieren, zu personalisieren, aber auch auf ihre Sicherheit hin zu untersuchen.

Die Ironie

Davor aber warnt ein Brief [2], der das Office am 17. Juli 2015 erreichte. Dürften Nutzer auf die Software ihrer Autos zugreifen oder diese gar verändern, heißt es darin, bestünde die Gefahr, dass sie die Emissionskontrollen manipulieren und so gegen den Clean Air Act (CAA) verstoßen, schreibt der Absender.

Wie sich zeigte, war seine Sorge berechtigt. Allerdings hatten nicht böswillige Nutzer, sondern die Volkswagen-Ingenieure selbst die Software mehrerer Fahrzeugmodelle manipuliert. In der Folge brachte der Absender des Briefes, ironischerweise die amerikanische Environmental Protection Agency (kurz EPA), die VW-Affäre ins Rollen.

Sicher, VWs Manipulationen sind aus heutiger Sicht dumm. Aber das Management wähnte sich sicher vor Entdeckung. Und das aus gutem Grund. So verbietet es in den USA der DMCA unter anderem, technische Maßnahmen zu umgehen, um die Software oder Firmware von Autos zu untersuchen oder zu verändern – mit unschönen Nebenwirkungen. Häufig profitieren davon die Hersteller, etwa der Traktorproduzent John Deere [3], der seine Kunden an Do-it-yourself-Reparaturen hindert. Das will die EFF in den USA mit ihrer Eingabe beim Copyright Office ändern, wobei es hier meist um Closed-Source-Firmware geht.

Firmware öffnen

Doch warum nicht einen Schritt weiter gehen und gesetzlich vorgeben, dass Hersteller, die ihre Produkte an Endkunden verkaufen, die darin enthaltene Firmware auf Anfrage offenlegen müssen? Ähnliches forderte kürzlich der holländische EU-Abgeordnete Paul Tang. Auf diese Weise hätten die Forscher der West Virginia University die Manipulationen an VWs Dieselmotoren womöglich früher bemerkt [4]. Oder ihr Auftraggeber, der International Council on Clean Transportation (ICCT), hätte den Code extern prüfen lassen.

Wahrscheinlicher aber ist, dass VW es nicht gewagt hätte, die Software vor den Augen der Welt zu manipulieren. "Hätte Volkswagen gewusst, dass jeder Kunde, der einen Wagen kauft, auch das Recht hat, den Quellcode einzusehen, hätten sie den Betrug nicht erwogen, aus Angst, ertappt zu werden", glaubt auch Eben Moglen, Professor für Recht und Mitbegründer des Software Freedom Law Center. Denn nicht nur Kunden, auch die Mitbewerber könnten einen Blick auf den Code werfen.

DMCA-Verteidiger führen auch die Sicherheit ins Feld. Dabei sind es häufig die Unternehmen selbst, die Sicherheitslücken zu spät oder gar nicht patchen. Ihr Kalkül: Verbietet man Forschern Funde öffentlich zu machen, erledigt sich die Sache von selbst [5]. Immerhin räumen sie ein, dass ausreichende Enthüllungsfristen das Problem lösen könnten.

Doch selbst wenn in der Praxis niemand den Code anschaut, weil es zu wenige Experten gibt oder niemand das Verlangen verspürt: Der Druck auf die Hersteller, wartbaren, sicheren und überraschungsfreien Code freizugeben, wäre größer.

Wäre alle Firmware offen, dann könnte niemand mehr betrügen wie jüngst im Fall VW? Das ließe sich zum einen schnell damit entkräften, dass ein vorsätzlicher Gesetzesbrecher sich auch nicht daran halten würde, die tatsächlich eingesetzte, getürkte Version herauszurücken. Er würde einen harmlosen Quelltext veröffentlichen, an dem nichts zu beanstanden wäre.

Vielleicht aber nicht einmal das, denn auch ohne betrügerische Absicht könnte er nur schwer Software freigeben, die es jedem, auch jedem Laienbastler, erlauben würde, sein System so zu manipulieren, dass es Grenzwerte der Sicherheit und Belastbarkeit überschreitet. Unfälle und Reparaturen fielen im Zweifel auf den Hersteller zurück.

Eigentlich ist gar nicht weiter zu argumentieren. Aber nehmen wir für einen Moment einmal an, in diesem Punkt wären selbst die Gauner ehrlich und sie müssten auch keinen Missbrauch fürchten. Selbst in dieser idealen Welt der ehrlichen Bösen würde die Offenlegung aller Software nichts nutzen. Warum? Weil auch niemand mitbekommen hat, dass »authctxt->user = buffer_get_string(m, NULL);« das ganze Sicherheitskonzept von Open SSH aushebelt – obwohl der Quellcode jedem zugänglich war.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Gegen Widerstände: EME-Standardisierung schreitet voran

    Die umstrittenen Encrypted Media Extensions nähren sich dem Empfehlungsstadium, dabei sind noch etliche Probleme für die User ungelöst. Doch die Vertreter verschiedener Unternehmen, die mit EME ihre Inhalte schützen wollen, wiegeln ab.

  • Electronic Frontier Foundation bewirkt Lockerung des DMCA

    Wer in den USA sein iPhone "befreite", einen SIM-Lock aufhob oder Teile einer kopiergeschützten DVD rippte, galt als Verbrecher. Die Electronic Frontier Foundation hat sich nun erfolgreich für eine Lockerung der Gesetzgebung eingesetzt.

  • Brave GNU World

    Diese Kolumne berichtet über aktuelle Entwicklungen innerhalb des GNU Projekts und versucht, Einblicke in die zugrunde liegende Philosophie zu vermitteln. In dieser Ausgabe: Ninvaders, Gnome-Annotate, Rule sowie ein paar grundsätzliche Betrachtungen.

  • LTR-Update: Abwehr von Abofallen

    Mit perfiden Tricks versuchen Betrüger ahnungslosen Internetbenutzen teure Verträge aufzudrücken. Doch wer sich auskennt, hat nicht allzu viel zu befürchten. Die Grundregel lautet: Nicht einschücjtern lassen, widerrufen, nicht zahlen und abwarten.

  • Update Mozilla-Sieg: Urteilsbegründung, Gesetzesnovelle

    Linux-Magazin Online stellt die vollständige Urteilsschrift in Sachen Download-Betrug online zur Verfügung. Daneben plant das deutsche Justizministerium eine Gesetzesnovelle, die betrügerische Download-Angebote verhindern soll.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.