Nein, sagt Jens-Christph Brendel. Wer betrügen will, der verabschiedet sich ja gerade vom Fair Play. Selbst wenn er scheinbar freie Software benutzt, wird er eben eine saubere Version veröffentlichen und tatsächlich eine manipulierte verwenden. Doch selbst wenn er wider alle Logik ehrlich wäre: Es nützte nichts.
Alle drei Jahre überprüft das amerikanische Copyright Office die Regeln des Digital Millennium Copyright Act (DMCA) und lässt sich Kommentare dazu schicken. Das ist im Gesetz selbst verankert, aktuell stehen wieder Punkte zur Diskussion [1]. Fahrzeugbesitzer sollen künftig die technischen Schutzmaßnahmen umgehen dürfen, um ihre Autos im Rahmen der Gesetze selbst zu reparieren, zu personalisieren, aber auch auf ihre Sicherheit hin zu untersuchen.
Die Ironie
Davor aber warnt ein Brief [2], der das Office am 17. Juli 2015 erreichte. Dürften Nutzer auf die Software ihrer Autos zugreifen oder diese gar verändern, heißt es darin, bestünde die Gefahr, dass sie die Emissionskontrollen manipulieren und so gegen den Clean Air Act (CAA) verstoßen, schreibt der Absender.
Wie sich zeigte, war seine Sorge berechtigt. Allerdings hatten nicht böswillige Nutzer, sondern die Volkswagen-Ingenieure selbst die Software mehrerer Fahrzeugmodelle manipuliert. In der Folge brachte der Absender des Briefes, ironischerweise die amerikanische Environmental Protection Agency (kurz EPA), die VW-Affäre ins Rollen.
Sicher, VWs Manipulationen sind aus heutiger Sicht dumm. Aber das Management wähnte sich sicher vor Entdeckung. Und das aus gutem Grund. So verbietet es in den USA der DMCA unter anderem, technische Maßnahmen zu umgehen, um die Software oder Firmware von Autos zu untersuchen oder zu verändern – mit unschönen Nebenwirkungen. Häufig profitieren davon die Hersteller, etwa der Traktorproduzent John Deere [3], der seine Kunden an Do-it-yourself-Reparaturen hindert. Das will die EFF in den USA mit ihrer Eingabe beim Copyright Office ändern, wobei es hier meist um Closed-Source-Firmware geht.
Firmware öffnen
Doch warum nicht einen Schritt weiter gehen und gesetzlich vorgeben, dass Hersteller, die ihre Produkte an Endkunden verkaufen, die darin enthaltene Firmware auf Anfrage offenlegen müssen? Ähnliches forderte kürzlich der holländische EU-Abgeordnete Paul Tang. Auf diese Weise hätten die Forscher der West Virginia University die Manipulationen an VWs Dieselmotoren womöglich früher bemerkt [4]. Oder ihr Auftraggeber, der International Council on Clean Transportation (ICCT), hätte den Code extern prüfen lassen.
Wahrscheinlicher aber ist, dass VW es nicht gewagt hätte, die Software vor den Augen der Welt zu manipulieren. “Hätte Volkswagen gewusst, dass jeder Kunde, der einen Wagen kauft, auch das Recht hat, den Quellcode einzusehen, hätten sie den Betrug nicht erwogen, aus Angst, ertappt zu werden”, glaubt auch Eben Moglen, Professor für Recht und Mitbegründer des Software Freedom Law Center. Denn nicht nur Kunden, auch die Mitbewerber könnten einen Blick auf den Code werfen.
DMCA-Verteidiger führen auch die Sicherheit ins Feld. Dabei sind es häufig die Unternehmen selbst, die Sicherheitslücken zu spät oder gar nicht patchen. Ihr Kalkül: Verbietet man Forschern Funde öffentlich zu machen, erledigt sich die Sache von selbst [5]. Immerhin räumen sie ein, dass ausreichende Enthüllungsfristen das Problem lösen könnten.
Doch selbst wenn in der Praxis niemand den Code anschaut, weil es zu wenige Experten gibt oder niemand das Verlangen verspürt: Der Druck auf die Hersteller, wartbaren, sicheren und überraschungsfreien Code freizugeben, wäre größer.
Wäre alle Firmware offen, dann könnte niemand mehr betrügen wie jüngst im Fall VW? Das ließe sich zum einen schnell damit entkräften, dass ein vorsätzlicher Gesetzesbrecher sich auch nicht daran halten würde, die tatsächlich eingesetzte, getürkte Version herauszurücken. Er würde einen harmlosen Quelltext veröffentlichen, an dem nichts zu beanstanden wäre.
Vielleicht aber nicht einmal das, denn auch ohne betrügerische Absicht könnte er nur schwer Software freigeben, die es jedem, auch jedem Laienbastler, erlauben würde, sein System so zu manipulieren, dass es Grenzwerte der Sicherheit und Belastbarkeit überschreitet. Unfälle und Reparaturen fielen im Zweifel auf den Hersteller zurück.
Eigentlich ist gar nicht weiter zu argumentieren. Aber nehmen wir für einen Moment einmal an, in diesem Punkt wären selbst die Gauner ehrlich und sie müssten auch keinen Missbrauch fürchten. Selbst in dieser idealen Welt der ehrlichen Bösen würde die Offenlegung aller Software nichts nutzen. Warum? Weil auch niemand mitbekommen hat, dass »authctxt->user = buffer_get_string(m, NULL);« das ganze Sicherheitskonzept von Open SSH aushebelt – obwohl der Quellcode jedem zugänglich war.
Nicht hinreichend
Die Zugänglichkeit der Quellen ist eine notwendige, aber keine hinreichende Bedingung für das Erkennen von Schwachstellen. Damit das Viele-Augen-Prinzip tatsächlich funktioniert, muss der potenzielle Auditor die benutzte Programmiersprache exzellent beherrschen. Das reicht aber nicht, er muss auch das Anwendungsgebiet der fraglichen Software kennen und dessen Algorithmen und Probleme verstehen.
Damit nicht genug, er braucht Zeit, um sich in vertrackte Details zu vertiefen. Hat er die Zeit, muss er die Sisyphusarbeit der Fehlersuche auf sich nehmen – er sollte also zudem motiviert sein, auch wenn kein Geld oder Ruhm winken. Hat er Know-how, Zeit, Muße und Motivation, muss er unabhängig vom Softwareproduzenten sein, um frei urteilen zu können. Ist er unbeschäftigt, unabhängig, motiviert und ausgebildet, fehlt ihm immer noch das Quäntchen Glück, damit ihm der Fehler ins Auge springt.
Personalmangel
Aus einer riesigen Menschenmenge, die den Quellcode lesen könnte, bleiben sehr wenige, die ihn wirklich lesen und verstehen – und vielleicht irgendwann einer, der am Ende einen Fehler entdeckt. Dabei war der zitierte Fehler kein böswillig versteckter Bug. Solche Schwachstellen wären noch mal um Größenordnungen schwerer zu finden.
Eine weitere Steigerungsstufe käme hinzu, wollte man einen Betrug wie den aus dem VW-Abgasskandal rein durch Software-Analyse finden. Denn dafür bräuchte es den programmierenden Motoreningenieur mit forensischen Talenten, Langeweile und Sendungsbewusstsein – beschäftigt bei der Konkurrenz. Kein Wunder, dass der Betrug auf diese Weise auch nicht aufgedeckt wurde.
Wäre die Fehlersuche nicht eine dankbare Aufgabe für ein Heer arbeitsloser Programmierer? Wäre sie. Nur gibt es das Heer nicht. Hierzulande sind im Moment über 40000 Stellen für IT-Spezialisten offen und zwei Drittel aller Unternehmen, die eine solche Stelle zu besetzen haben, suchen Software-Experten.
Open Source ist kein Allheilmittel. Das zu glauben ist naiv. Schon heute steckt in Myriaden von Dingen Software, im Auto wie im Fernseher, in der Heizung wie im Kühlschrank. Und das ist erst der Anfang: Sind heute schon fünf Milliarden Geräte vernetzt, werden es laut Marktforscher Gartner bis 2020 weltweit 25 Milliarden sein. Ihr Herzstück sind Abermillionen verschiedene Programme.
Jedes einzelne davon fachkundig und herstellerunabhängig abzuklopfen ist menschenunmöglich, denn es gibt die vielen IT-Experten schlicht nicht, die dafür erforderlich wären. Stichproben sind machbar, besonders wichtige oder typische Einzelstücke kann man unter die Lupe nehmen. Aber in der Regel wird man die Software entweder nicht benutzen oder ihr vertrauen müssen. Es gibt keine andere Wahl.
Infos
- DMCA: https://www.eff.org/cases/2015-dmca-rulemaking
- Epa-Brief: http://copyright.gov/1201/2015/USCO-letters/EPA_Letter_to_USCO_re_1201.pdf
- Wie John Deere den DMCA einsetzt: http://www.wired.com/2015/04/dmca-ownership-john-deere/
- Wie VW aufflog: http://www.npr.org/2015/09/24/443053672/how-a-little-lab-in-west-virginia-caught-volkswagens-big-cheat
- Ars Technica: http://arstechnica.com/tech-policy/2015/09/should-private-research-on-vehicle-software-be-hidden-from-the-public/
Der Autor
Kristian Kißling, Redakteur für Software und Programmierung beim Linux-Magazin.
Jens-Christoph Brendel, stellvertretender Chefredakteur des Linux-Magazins.
