Christian StöckerSep 22, 2024
Kolumne: Die explodierenden Pager und Funkgeräte, die diese Woche Dutzende töteten und Tausende verletzten, bringen ein Schlachtfeld ans Tageslicht, das Geheimdienste lieber im Dunkeln halten würden. Die USA reagierten auf die Angriffe betont verhalten.
https://www.spiegel.de/wissenschaft/mensch/pager-attentate-im-libanon-der-kalte-cyberkrieg-hat-laengst-begonnen-kolumne-a-59329438-3fad-4a31-9866-37ca381267db
Nach den Pager-Attentaten im Libanon: Eine Welt, in der man keinem elektronischen Gerät mehr trauen kann

Die explodierenden Pager und Funkgeräte, die diese Woche Dutzende töteten und Tausende verletzten, bringen ein Schlachtfeld ans Tageslicht, das Geheimdienste lieber im Dunkeln halten würden.

DER SPIEGEL
Show threadPeter König

@chrisstoecker https://mastodon.social/@chrisstoecker/113180984455530519

▶️ Die #Terroranschlag-Serie

durch "in zivilen Gadgets versteckte Bomben" werfen natürlich auch ein Licht auf die

▶️ Vertrauenswürdigkeit unserer Lieferketten, weltweit!

Denn wenn (mutmaßlich) #Mossad und #NSA / #CIA in der Lage sind, unter falschem Namen Fake-Unternehmen zur Durchführung von Terroranschlägen zu gründen und Lieferketten "legal/unsanktioniert" zu sabotieren, dann müssen wir fragen,

▶️ welcher (OpenSource) #SW wir noch vertrauen wollen!

🧵

Sep 22, 2024 at 12:41pmWeb
Show threadPeter KönigSep 22, 2024

@chrisstoecker

Bei #Ubuntu und #Shuttleworth gab und gibt es von Beginn an Bedenken, ob das Projekt nicht vorsätzlich die Integrität von #Debian schwächen sollte:

Unter dem Vorwand besonderer Einfachheit wurde proprietäre Software als "lässliche Sünde" akzeptiert, mit der sich "Sprengstoff-gleich" Bugdoors im Umfeld des sonst vollständig überprüfbaren Debians platzieren ließen.

Zudem konnten mit den vielen Millionen US-$ natürlich auch Debian-Entwickler:innen umworben/abgeworben werden.

🧵

Show threadPeter KönigSep 22, 2024

@chrisstoecker

Diese Überlegung sollte uns an den XZ-Angriff auf die #FOSS Lieferkette erinnern:

Wer kann es sich denn leisten, systematisch die schwächste Stelle der Linux-Lieferkette (1-Personen-Projekte) zu analysieren und jahrelang Spione und Saboteure finanzieren, um dieses Projekt systematisch und extrem subversiv anzugreifen?

Klar: #China oder #Russland können das. Mit Blick auf die Sabotage der Pager- und Walkie-Talkie-Lieferketten kommen mir ganz andere Akteure in den Sinn!

🧵

Show threadPeter KönigSep 22, 2024

@chrisstoecker

Wir sind uns bei quelloffener Software im Grunde einig:

Sie bietet die notwendige Voraussetzung, um Software bestmöglich sicher zu machen:

Man kann sie inkrementell verbessern, ohne dass ungesehen neue Bugs einfließen - intendiert oder unabsichtlich.

Proprietäre Software versagt bereits an dieser Stelle!

Natürlich ist Offenheit nicht hinreichend! Es reicht nicht aus "FOSS" zu rufen, um sicher zu sein.

Dazu müssten wir ein systematisches FOSS-Risiko-Management etablieren.

🧵

Show threadPeter KönigSep 22, 2024

@chrisstoecker

Der Witz ist: Unsere #Marktwirtschaft gäbe das her!

Wenn wir, ähnlich zum Risiko bei der Atomkraft,

▶️ Eintrittswahrscheinlichkeit * Schadenshöhe

multiplizieren und den Wert den Verursachern auf die Produktpreise schlagen würden, dann kämen wir bei proprietärer Software - wie bei der Atomkraft - zu unendlich hohen Werten. Denn durch die Geheimhaltung des Quellcodes entzieht sich proprietäre Software jeder Risiko-Quantifizierung (z.B. der SW-Qualität).

🧵

Show threadPeter KönigSep 22, 2024

@chrisstoecker

Und dann sollten wir eine Versicherungspflicht einführen, bei der vollkommen marktwirtschaftskonform Versicherungsprämien entsprechend des jeweiligen Risikowerte fällig werden.

Wenn sich Unternehmen versichern wollen, die nicht von proprietärer Software lassen können, dann müssen die eben hohe - ruinöse - Prämien zahlen!

Von den Einnahmen finanziert die Versicherungsindustrie dann regelmäßige, öffentliche 360°-Risikoanalysen der SW-Pakete - soweit Hersteller das zulassen ..