Offenlegung Quellcode!!

Hallo,

ich mag Überschriften, die Interesse wecken!
Aber im Ernst:

Ich möchte hier 2 Meinungen darstellen, zu denen ich gern mit Euch diskutieren würde.
(Ursprung aus dem Forum->Janatools)


1. Meinung "Der Sicherheitsexperte" (Raphael)
- Ich lade nur Programme hoch, die ich selbst kompiliert habe, damit ich den Quelltext immer einsehen und überprüfen kann nach "Sicherheitsaspekten".
- Der Quelltext muss daher für mich verfügbar sein und in der Regel auch veröffentlicht werden dürfen.
- ich behalte mir vor, jede Version auf Stabilität/Kompabilität mit Jana selbst testen zu dürfen, und testen zu lassen, bevor ich Sie ins Netz
stelle."

2. Meinung "Der Programmierer" (ich)
Dies ist mir aber doch ein bischen zu hart.

Thomas behält sich aus gutem Grund vor, den Quellcode von Jana nicht aus der Hand zu geben.
Auch ich würde rein arbeitsrechtliche Probleme bekommen, wenn ich den Quelltext von Software weitergebe, die ich auf Kosten und im Auftrag meiner Firma erstellt habe.
Ein Tool weiterzugeben, welches damit auch im Feldtest seine Eignung beweisen kann, ist da kein Problem.

Verbaust Du (->Raphael) da nicht den von Dir mühsam in Gang gebrachten Weg der Janatools?


Da treffen zwei Welten aufeinander, die jede für sich gesehen schlüssig sind.


Was sagt ihr??

zu meiner Verteidigung:

Ich habe auch nichts dagegen, wenn der Quelltext nicht veröffentlicht werden darf, ich aber, wenn auch nur als einziger, und unter Schweigepflicht, möchte den Quelltext sehen, und selbst kompilieren, sofern dies technisch möglich ist. (ich die IDE habe).

Gründe:

1. die Tools werden speziell für eine Anwendung entwickelt, also Jana, ein potentieller Angreifer weiss also ganz genau was sein Ziel ist, und vorallem: dass sich das Ziel lohnt! .

2. Die Tools brauchen für ihre Funktionsfähigkeit essentielle Daten über den Server, und arbeiten damit.
Diese Daten sind extrem sicherheitsrelevant (Beispiel jana2mail: AdminUser und Passwort, alle Emailkontendaten, Server IP-Adresse, AdminPort)

3. die Programme brauchen den Zugriff auf den Server um vom Client aus Administrationsfunktionen übernehmen zu können, man muss ihnen also weitreichende Netzwerkrechte erteilen.

Aus der Kombination von 2. und 3. folgt, dass die Programme, obwohl Sie sensitive Daten übermitteln, extrem schwierig zu überwachen sind, weil Sie legale Kanäle kennen und benutzen dürfen, wo Firewalls nur wenig machen können. Im Prinzip wäre eine Kontrolle nur noch mit einem Packetlogger denkbar, bei SSL-Administration, die ich für wünschenswert halte, sogar nicht mal das. Da Sie auch die Proxy-Daten haben, bzw. leicht ermitteln können, ist der Weg von sensitiven Daten ins Internet nicht mehr besonders schwierig zu bewerkstelligen.

WARUM?

Das Tool läuft u.U. nicht mal auf dem Server! Da es ja nur über die Java-Schnittstelle zugreifen kann.

Peter





Hier habe ich was weggenommen, wo Peter was über sein geplantes Projekt erzählt. (Ich weiss ja nicht, ob dies schon in die Öffentlichkeit gelangen sollte) Raphael

Argumente #2:

1. Ich bekomme die Tools immer erst zuerst zugeschickt, und zwar per Mail von Leuten, die ich zuerst einmal gar nicht kenne, und MUSS die Tools testen, also ausführen, selbst wenn ich nicht weiss was drinnsteckt.

2. Ich bin nebenbei "Supporter für Firewalls und Sicherheit", und daher bedeutet das Hacken meines Rechners, selbst das reine Zerstören, immer Ruhm und Ehre ( Ich habe einen Möchtegern-Sicherheitsexperten gehackt !)

3. ich kann mir schlecht eine Rechner nur zum Testen einrichten.

Argumente #3:

Damit der Support gut funktionieren kann:

- ist es notwendig, dass die Leute hier auch mal ihre Servereinstellungen und ihr Betriebssystem posten.

- Emailadressen der Leute sind auch leicht rauszubekommen bzw. sind direkt einsehbar.

- viele Leute machen hier im Forum ihre Homepages populär, d.h. posten ihre Servernamen und Links.

- viele Leute posten hier, ob Sie eine Firewall benutzen oder nicht.

JANAFORUM = "Cracker's Paradize"



Es ist nun kein Problem, ein Programm so zu entwickeln, dass es nur bei einzelnen Benutzertypen "zuschägt"

Am Beispiel: mail2Jana

So würde ich vorgehen:
Ich wähle aus dem Forum einige Personen (Angriffsziele) aus, die ich nicht mag/ immer schon mal hacken wollte etc., und informiere mich über deren Emailadressen,Servernamen, Firewall usw., sagen wir mal 10 Stück.



Eine simple IF-Schleife wird in das Tool eingebaut:

IF zu übernehmende Emailadresse = *@Angriffsziel.de
DO
function.Passwörterauslesen
function.Passwortübermitteln
function.openBackdoor
ELSE do Garnix (normale Funktion)

Dann hoffe ich noch, dass einer von meinen Angriffszielen dass Tool installiert, und ab geht die Post.

Zu meiner Verteidigung #2:

1. Es gibt auf der Janatools.de-Seite noch eine Rubrik, wo ich Programme reinstelle, die ich zwar gut finde, wo die Authoren aber den Quelltext nicht zeigen möchten, diese Rubrik heisst: Download -> Andere Programme

Beispiel: Andreas Scherflings "Abrechnungstool"

Das ist alles kein Thema, ich schreibe genauso einen kurzen Text dazu, stelle das Programm vor, nur sichere ich mich halt explizit dagegen ab, auch nur in irgend einer Weise Verantwortung für das Programm zu übernehmen (Haftungsausschluss), und dass ist auch nur fair.

2. Dann gibt es auch noch die Rubrik : "Links zu externen Downloads" wo ich genauso die Programme beschreibe, wo aber der Programmierer alles selbst in der Hand behält.

Beispiel: Manfred Königs SPAM

Im Forum sind unter der Rubrik << Andere /Kommerziell >> auch Ordner für diese Programme "einrichtbar".
Dazu einfach nur René fragen.

Ich verwehre mich also gegen den Vorwurf, ich würde den Willen der Programmierer nicht respektieren, und solche, die ihren Quelltext schützen wollen ungerecht behandeln, oder ihnen nicht die Möglichkeiten bieten, ihre Programme angemessen zu präsentieren.

ich habe leider versäumt, dies gleich zu Beginn alles dies auf meine HP zu schreiben, es war aber immer so gedacht, (stand auch damals so in meinem Konzeptentwurf)

Habe die Formulierungen auf meiner Homepage jetzt verbessert, www.janatools.de/info.htm

Hi !

Quellcode hin - Quellcode her - bei Sicherheitsrelevanten
Tools wäre meine Meinung auch, den Quelltext nicht zu
veröffendlichen. Da es ja hier um Jana geht und die Tools
im Zusammenhang damit verwendet werden, wäre es ein Leichtes
die in dem Tool eingebauten Zugriffsmöglichkeiten in welcher
Form auch immer auszubauen bzw zu mißbrauchen.

Da der Author der jeweiligen Software bekannt ist, sollte es
kein Problem geben. Ich denke doch, das Raphael und ich
ganz besonderst darauf achten, das die Hilfetools keine
Killer - oder Hackertools darstellen.

Man sollte aber doch wachsam sein das sich nicht doch mal
ein schwarzes Schaf hier einschleicht. Die Janauser haben
doch ein gewisses Vertrauen zu uns und die meisten werden,
wenn sie es denn wollen, die von uns angebotenen Tools ohne
viel zu überlegen anwenden.

PS:

Thomas hat bestimmt diesen und jenen Trick verraten, wie man
hier oder dort in die Funtionen von Jana eingreifen kann.
Ich würde das nicht in Form von Quelltext an die breite
Öffendlichkeit weitergeben. Es reicht hin, wenn es das Tool
kann und basta !!!

Zitat:

Thomas hat bestimmt diesen und jenen Trick verraten, wie man hier oder dort in die Funtionen von Jana eingreifen kann. Ich würde das nicht in Form von Quelltext an die breite Öffendlichkeit weitergeben. Es reicht hin, wenn es das Tool kann und basta !!!

Und gerade das offenlegen dieser oder jener Funktion wird die schwarzen Schafe anlocken!
Außerdem denke ich mal das dann Jana nur als Hobby und Bastler Tool abgeschrieben sein wird für viele User!
Mal ganz davon abgesehen das du dich dann in Zukunft vor Script Kieddie-Anfragen nicht mehr retten kannst!
Um die ganze Sache ein wenig seriös zu halten sollte auf keinen Fall QuellCode offengelegt werden mit dem man auf Funktionen von Jana zugreifen kann!

Gruß

Daniel

Also, ich persönlich bin mit den Schnittstellen von Jana zufrieden, und wenn ich doch mal eine zusätzliche Variable brauche, oder so etwas, frage ich Thomas halt, ob er diese einbauen möchte. Ich will und brauche Janas Quelltext weder ganz noch teilweise, dass stand für mich auch niemals zur Diskussion! Nie war es Sinn und Zweck von janatools.de, selbst am Janaserver herum zu manipulieren. Auch die HTML-Oberfläche sollte nicht manipuliert werden dürfen, dennoch habe ich nichts dagegen, wenn Leute sich eigene Oberflächen bauen, die parallel zu der HTML-Oberfläche mit Jana auf gleiche Art und Weise kommunizieren (diese Kommunikationsvorgänge lassen sich sowieso nicht geheim halten, und deren Nutzung ist durch das Admin-Passwort geschützt)

Hi,

also ich muss Raphael zustimmen. Ich würde nie irgend ein Tool auf meinem Server installieren, das ich irgendwo im Internet gefunden habe und nich den Quelltext nicht einsehen kann und ich den Autor nicht kenne.
Niemand sollte was auf seinem Rechner ausführen (mit diesen ganzen Viren und Spyware ...) und erst Recht nicht auf dem Server.

Zitat:

Original von Raphael (diese Kommunikationsvorgänge lassen sich sowieso nicht geheim halten, und deren Nutzung ist durch das Admin-Passwort geschützt)

Also mit meiner noch in Entwicklung befindlichen Delphi 6 Schnittstelle zu Jana, kann das Admin-Passwort umgangen (nicht ausgelesen) werden. Auf diese Weise ermittelt auch das Programm NewsAdmin den News-Ordner (nein, es nimmt nicht einfach an, dass der News Ordner im Jana Ordner ist) und die Benutzerverwaltung läuft auch über diese Schnittstelle. Oder, Raphael, musstest du dein Admin-Passwort eingeben beim Testlauf?
Ich glaube, da werde ich die Schnittstellendateien wohl aufteilen müssen in eine die das Admin-Passwort verlangt und eine, die ich für mich behalten werde.

Zitat:

nein, es nimmt nicht einfach an, dass der News Ordner im Jana Ordner ist

Ich hatte gedacht, dass du es so gemacht hast.

Es sieht zumindest nach Außen hin so aus. Es steckt aber viel mehr dahinter. Nur um ein "\News" an C:\Programme\Jana Server" anzuhängen hätte es keine ca. 6700 Zeilen (die drei Dateien) gebraucht. Und diese Dateien sind noch nicht mal fertig. ( Oh man, noch ne Menge Arbeit).

Nur so am Rande:

Zitat:

Original von Sven also ich muss Raphael zustimmen. Ich würde nie irgend ein Tool auf meinem Server installieren, das ich irgendwo im Internet gefunden habe und nich den Quelltext nicht einsehen kann und ich den Autor nicht kenne. Niemand sollte was auf seinem Rechner ausführen (mit diesen ganzen Viren und Spyware ...) und erst Recht nicht auf dem Server.

Gewagte These, immerhin sprechen wir hier von einem Programm für Windows. Hast du den Windows-Code?
Wenn du dann noch den Server auf Windows 98 oder neuer laufen lässt, dann wirkt denie Aussage irgendwie lächerleich, findest du nicht?

cu, Bernd

Hi Bernd,

ok, Windows 98 ...