Fragen? Antworten! Siehe auch: Alternativlos
Leute, es ist doch völlig wurscht, ob das jetzt eine Backdoor ist oder nicht. Wir müssen alle davon ausgehen, dass über dieses Ding alle unsere Passwörter rausgetragen wurden. Ob das jetzt ein Geheimdienst eingebaut hat, oder ob das ein Geheimdienst nur entdeckt und damit sein BULLRUN-Programm aufgebohrt hat, das ist doch völlig nebensächlich.
Der Punkt an der Sache ist, dass wir ab jetzt IMMER davon ausgehen müssen, dass irgendwelche Bugs auch eine Backdoor sein könnten. Es gibt für sowas keine Beweise, nur Indizien, und wir wissen es nie genau, bis es irgendwann ein Whistleblower zugibt. Und es spielt auch keine Rolle, wie viele Indizien es gibt, wie stark die sind, oder ob es wirklich eine Backdoor war oder nicht.
Es geht auch nicht um diesen Seggelmann. Der wird jetzt damit leben müssen, beim größten Security-Meltdown in der Geschichte von SSL der Mann an der Reaktorkühlung gewesen zu sein. Ob das jetzt Absicht war oder nicht — who cares.
Was eine Rolle spielt, ist dass wir jetzt das Bedrohungsszenario "jemand will uns eine Backdoor unterschieben, die bloß wie ein blöder Bug aussieht" nicht mehr als Verschwörungstheorie zu den Akten legen können nach Snowden. Wir müssen ab jetzt bei jedem Checkin davon ausgehen, dass uns jemand sabotieren will. Nicht bei allen Projekten. Aber bei sowas wie OpenSSL ganz bestimmt.
Open Source-Softwareentwicklung hat gerade den Sprung in die Geheimdienstwelt gemacht, wo man sich gegenseitig nicht mehr einfach so traut. Die Zeit der Blümchenwiesen-Softwareentwicklung ist vorbei, wenn die Software auf Millionen von Desktops läuft.
Ob das Open Source Modell in so einer Paranoia-Umgebung überleben kann, wird sich zeigen müssen. Aber einfach so tun, als beträfe uns das alles nicht, das können wir nicht mehr.
Ich bin mir übrigens sicher, dass man auch bei einigen von meinen Bugs über die Jahre rückblickend Indizien konstruieren könnte, wieso das wie eine Backdoor aussieht, oder einer anderen Backdoor hilft oder sie ermöglicht. Man müsste sich dafür recht weit aus dem Fenster lehnen, aber das ist ja kein Problem bei Verschwörungstheorien. Glücklicherweise habe ich nicht so viele sicherheitskritische Fehler gemacht über die Jahre.