News CoreOS – Google-Infrastruktur für jedermann

Emer

Lt. Junior Grade
Dabei seit
Aug. 2013
Beiträge
313
also als aller erstes sollte man mal klären wie sicher die daten sind, auch im sinne von industriespionage
 
R

rob-

Gast
Das ist ein System das du selber betreiben sollst. Kein Dienst von google & Co.
Also wie sicher sind die Daten bei dir selbst ?
Man betreibt auch Windows Server 2013 selbst, nur wie sicher sind Daten darauf?
Der beste Schutz den man haben kann, ist es keine allgemeine Software zu nutzen.

Firmen brauchen Software die sich ein Hacker nicht selbst zuhause aufspielen kann.
Alles was angreifbar ist, sind Apache & sonstige Web Software.
Am besten sollte man jede Firma dazu gesetzlich verpflichten sobald sie sich die Programmierer leisten können.

Security / Überwachungs Probleme gibt es überhaupt erst seit dem alles zentralisiert und standardisiert wurde.
Fliegt eine Lücke auf, sind gleich alle bedroht. Noch bevor man diese schließen kann, ist der Schaden angerichtet.
 
Zuletzt von einem Moderator bearbeitet:

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
6.114
Edit: Teile dieses Posts sind schlicht falsch, lesen sollte man können -.-

@flappes: Ihm ging es wohl eher darum, welche Hintertüren Google ins System einbaut. Entweder für eigene Interessen oder staatliche...

@rob-: Standardisierung hat damit wenig zu tun. Ein Großteil der Sicherheitsprobleme kommen zustande, weil standardisierte Software nicht aktuell gehalten wird und wirklich hanebüchend konfiguriert wird bzw. von kleineren Softwareschmieden eben Standards richtig bescheiden umgesetzt werden. Es gibt im professionellen Umfeld zuhauf Software die sich immer mit Standardpasswörtern installiert, die Datenbanken so einrichten, dass sich SQL Injections quasi ungehindert durchführen lassen und Passwörter dann im Klartext* abgreifen lassen.

So manch selbst gestrickte Lösung mittelgroßer Firmen ist geradezu eine Einladung. Dagegen sind standardisierte Lösungen die ordentlich umgesetzt werden echt harte Nüsse.

*Oder mit ner lustigen 54bit Verschlüsselung und aller höchstens mit 128bit ohne Salz...


Zum Thema: Google hat in Sachen gut skalierbaren Softwarelösungen schon so einiges an die Front geworfen. Da darf man also gespannt sein. Die Frage steht trotzdem im Raum, wieso ein großer, profitorientierter Konzern solche Sachen, die einen enormen Wettbewerbsvorteil darstellen so einfach herausgibt. Aus Nächstenliebe wohl kaum.
 
Zuletzt bearbeitet:

ice-breaker

Commodore
Dabei seit
Nov. 2008
Beiträge
4.133
Zum Thema: Google hat in Sachen gut skalierbaren Softwarelösungen schon so einiges an die Front geworfen. Da darf man also gespannt sein. Die Frage steht trotzdem im Raum, wieso ein großer, profitorientierter Konzern solche Sachen, die einen enormen Wettbewerbsvorteil darstellen so einfach herausgibt. Aus Nächstenliebe wohl kaum.
das ganze kommt nicht von Google. Open Source Entwickler fanden einfach das ChromeOS-Konzept cool und haben dann eben angefangen eine wirklich Minimal-Linux-Distro zu basteln.


Generell wird die Sicherheit des Systems aber rein vom Betriebssystem besser als alles andere sein. Denn das ist wirklich ein minimalstes abgespecktes Linux, das was da installiert wird ist noch kleiner als die Minimal-Installationen von Debian und Co. Da wird dann nur LXC und Docker drauf installiert und fertig. Also wäre das wirklich selbst nachvollziehbar was da installiert wird, nicht so wie heute "Minimal"-Distros.

Jede Software läuft dann in Docker-Containern, die quasi wie eine VM in sich geschlossen sind aber kein komplett eigenes Betriebssystem am laufen haben, die Software läuft einfach ziemlich in Container, es ist ähnlich vergleichbar mit einer chroot-Umgebung aber LXC (worauf Docker basiert) ist da deutlich ausgefallener.
So nen Docker-Container ist nachher so eine PaaS, das Betriebssystem usw. wird vom Host gestellt und im Docker-Image muss man nur noch die Komponenten seiner Software installieren (also z.B. Nginx, PHP, MySQL und ne beliebige PHP-Anwendung). Das ganze kann dann munter auf jeden Server mit Docker-Unterstützung verschoben werden. Ein CoreOS-Server oder dein normales Debian mit einer Docker-Installation, wie es dir gefällt.
 
U

UnitedUniverse

Gast
(((((na wunderbar ein server-betriebssystem von google damit ich meine server direkt mit den nsa servern verbinden kann?! hahaha......:D sorry die meisten amerikanischen unternehmen haben mein vertrauen verloren ;) )))))


Edit: ich entschuldige mich für meine faulheit den artikel nicht gelesen zu haben, allerdings hat mich die überschrift schon abgeschreckt hier zeit zu investieren...... ;)
 
Zuletzt bearbeitet:

Bible Black

Lieutenant
Dabei seit
Apr. 2011
Beiträge
711

Zehkul

Admiral
Dabei seit
Feb. 2011
Beiträge
8.643
@flappes: Ihm ging es wohl eher darum, welche Hintertüren Google ins System einbaut. Entweder für eigene Interessen oder staatliche...
1. Wo baust du bei Open Source Hintertüren ein?
2. Wo hat Google überhaupt etwas mit diesem Projekt zu tun?

Open Source hast du auch nicht verstanden … Eigentlich so gut wie keiner hier, aber das ist man ja gewohnt bei Linux Neuigkeiten. Das Konzept „Open Source“ geht wohl einfach über den Horizont des normalen Windowsnutzers hinaus.
 

Lost_Byte

Admiral
Dabei seit
Mai 2007
Beiträge
7.975
U

UnitedUniverse

Gast
@Bible Black
@Lost_Byte

ich habe tatsächlich nur die überschrift gelesen, cb formuliert leider viel zu oft missverständlich bzw. unpräzise, aber gut das entschuldigt natürlich nicht meine faulheit, tut mir leid! :)
 

Hot Dog

Lieutenant
Dabei seit
Mai 2007
Beiträge
699
Man betreibt auch Windows Server 2013 selbst, nur wie sicher sind Daten darauf?
Der beste Schutz den man haben kann, ist es keine allgemeine Software zu nutzen.

Firmen brauchen Software die sich ein Hacker nicht selbst zuhause aufspielen kann.
Alles was angreifbar ist, sind Apache & sonstige Web Software.
Am besten sollte man jede Firma dazu gesetzlich verpflichten sobald sie sich die Programmierer leisten können.

Security / Überwachungs Probleme gibt es überhaupt erst seit dem alles zentralisiert und standardisiert wurde.
Fliegt eine Lücke auf, sind gleich alle bedroht. Noch bevor man diese schließen kann, ist der Schaden angerichtet.
Du bietest das beste Beispiel für sachliche Inkompetenz - 6, setzen. ;)
Bitte nimm es mir nicht übel, aber das ist quatsch.
Ok gut: Dass "Nicht-Mainstream-Software" sicherer ist, als Software, die quasi überall eingesetzt wird, ist klar. Das hat ganz einfach mit dem Potenzial für Angreifer zu tun.

Aaaaber:
Proprietäre Software kann im großen Umfeld nicht sicher funktionieren. Es gibt immer Menschen, die eine Sicherheitslücke finden und diese erst Tage oder sogar Monate danach entdeckt wird.
Anders ist es bei Open Source Software, bei der jeder Einsicht in den Quellcode hat und alle alles überprüfen und nachvollziehen können.
Hier kann auch niemand eine Backdoor einschleusen, da diese sofort entdeckt werden würde.

Schau dir doch zum Beispiel mal Apple an:
Apple verwendet ein proprietäres OS, welches so gut wie alles enthalten könnte. Ich will gar nicht wissen, was alles :D.
Ist es darum sicherer? Vor Angreifern vielleicht ja, aber wie sieht es von der Firmenseite aus? Nach dem ganzen NSA-Thema würde ich mir darüber inzwischen mehr Gedanken machen, als um irgendwelche Angreifer von außerhalb. Hier kann niemand den Quellcode auf Backdoors o.ä. überprüfen.

Vergiss nicht, was Benjamin Franklin einst gesagt hat:

- "Diejenigen, die bereit sind grundlegende Freiheiten aufzugeben, um ein wenig kurzfristige Sicherheit zu erlangen, verdienen weder Freiheit noch Sicherheit" (B.F.)
- "Wer Freiheit für Sicherheit aufgibt, wird beides verlieren" (B.F.)

Darum ist der Open-Source-Ansatz der beste, innovativste und zukunftsweisendste Ansatz überhaupt. ;)
 

ice-breaker

Commodore
Dabei seit
Nov. 2008
Beiträge
4.133
Proprietäre Software kann im großen Umfeld nicht sicher funktionieren. Es gibt immer Menschen, die eine Sicherheitslücke finden und diese erst Tage oder sogar Monate danach entdeckt wird.
Anders ist es bei Open Source Software, bei der jeder Einsicht in den Quellcode hat und alle alles überprüfen und nachvollziehen können.
Das ist ein schlechtes Argument, denn auch in OpenSource-Software kann es Sicherheitslücken geben, die über Monate niemand (anderes) entdeckt.
So hatte OpenSSL fast 2 Jahre eine (Sicherheits-)Lücke wodurch generierte SSL-Zertifikate so gut wie gar nicht zufällig waren, es gab nur einige Tausend mögliche Zertifikate. Man konnte also darüber die SSL-Kommunikation abhören indem man eben herausgefunden hat, dass eine Webseite so ein unzufälliges Zertifikat verwendet und dadurch eben den privaten Schlüssel kannte.

Hier kann auch niemand eine Backdoor einschleusen, da diese sofort entdeckt werden würde.
Das stimmt schon. Aber die Möglichkeit besteht immernoch, wenn die Backdoor gut genug getarnt als ein Programmierfehler ist, z.B. in dem mutwillig Code entwickelt wird, der anfällig gegenüber Buffer Overflow Exploits ist. Und auch so ist OpenSource nicht sicher vor Angreifern, man muss nur die Möglichkeit haben irgendwo den bösen Code einzuschleusen, der wird zwar irgendwann gefunden, aber nicht unbedingt sofort.

Schau dir doch zum Beispiel mal Apple an:
Apple verwendet ein proprietäres OS, welches so gut wie alles enthalten könnte. Ich will gar nicht wissen, was alles :D.
Und eine Linux-Distro oder das so gelobte Android kann auch jede mögliche Backdoor haben, die du dir vorstellen kannst. Solange du von irgendwem nur die kompilierten Daten bekommst, kannst du dir nicht sicher sein, dass dieses Kompilat wirklich 1:1 dem OpenSource Quelltext entspricht. Du hast gar nichts gewonnen, außer einem falschen Anschein von Sicherheit.

Darum ist der Open-Source-Ansatz der beste, innovativste und zukunftsweisendste Ansatz überhaupt. ;)
Wenn du jede Quelltextänderung selbst überprüfst und alles selbst kompilierst: ja
Wenn nicht kann man dir immernoch genug unterschieben.



Nicht falsch verstehen, OpenSource kann Software sicherer machen. Den OpenSSL-Bug hätte man in einem ClosedSource-Produkt eventuell nie gefunden, es seidenn jemand hätte sich Millionen Zertifikate erstellt und gesehen dass da dauernd die gleichen kommen. Aber OpenSource ist nicht autom. sicherer, kein Stück, du kannst immernoch Backdoors und ähnliches untergeschoben bekommen. Oder böser Code in Projekte eingeschleust werden, ohne dass es jemand bemerkt.
Man sehe sich nur diese Github Schwachstelle an, hätte das jemand mit Linus Torvalds Github-Zugang auf den Linux Kernel gemacht und eine kryptische Performanceoptimierung in den Code eingebaut (die immer extremst komplex und schwer nachzuvollziehen sind), die auf eine ganz spezielle Operationen einen Buffer Overflow Exploit ermöglicht (direkt im Kernel!), wer hätte Stunden versucht die Änderung nachzuvollziehen und nach Lücken zu suchen? Immerhin kam der Code ja von Linux Torvalds.


OpenSource ist kein Allheilmittel, genauso wenig wie ClosedSource. Beide teilen größtenteils ähnliche Probleme.
 
Zuletzt bearbeitet:

Hot Dog

Lieutenant
Dabei seit
Mai 2007
Beiträge
699
@ ice-breaker:

Gute Argumente, gute Beispiele - wieder ein Stück schlauer ;)

Aber ich sag mal so: Das neue OS (Core-OS) wird ja, wie im Text beschrieben, sehr kompakt und klein ausfallen.
In dem Fall würde ich Open-Source einer proprietären Variante dennoch vorziehen ;).
 

HighTech-Freak

Commodore
Dabei seit
Juli 2005
Beiträge
4.861
OpenSource ist kein Allheilmittel, genauso wenig wie ClosedSource. Beide teilen größtenteils ähnliche Probleme.
Nein, Allheilmittel ist es keines, sowas gibts nicht, aber man ist damit potenziell sicherer. Bei Closed Source bist Du dem Anbieter nunmal auf Gedeih und Verderb ausgeliefert. Das is bei OpenSource nicht so, Du hast zumindest die Möglichkeit zu prüfen, ob irgendwo was nicht passt. Gerade der SSL-Bug ist doch DAS Paradebeispiel für OS. Open Source wird von viel mehr Leuten unter die Lupe genommen wie ClosedSource, eben weil der Quellcode vorliegt. 100%ige Sicherheit gibt's nie, aber OS is nunmal um Welten näher dran als CS...
Und selbst wenn die Software selbstgeschrieben wäre, was nützt es wenn die Hardware manipuliert ist (EFI lässt da schon viel Spielraum) und einen Backdoor hat... Das Spiel kann man immer weiterspielen. ;)

B2T: Klingt sehr interessant... denke das Projekt kommt mal auf die Liste für Evaluierung. :)
 

Simon

Fleet Admiral
Dabei seit
Jan. 2002
Beiträge
10.458
Zum Thema: Google hat in Sachen gut skalierbaren Softwarelösungen schon so einiges an die Front geworfen. Da darf man also gespannt sein. Die Frage steht trotzdem im Raum, wieso ein großer, profitorientierter Konzern solche Sachen, die einen enormen Wettbewerbsvorteil darstellen so einfach herausgibt. Aus Nächstenliebe wohl kaum.
Mal abseits vom Thema: Der Grund dafür nennt sich "Reichweite".

Bestes Beispiel dafür ist Android. Das gibt es von Google auch "gratis". Was ist daraus geworden? Das neben Classic-Windows wohl derzeit größte Software-Ökosystem auf dem Globus, welches Google letztlich eine riesige Plattform für die Vermarktung eigener Services (und natürlich Werbung) beschert hat...
 

NemesisFS

Lt. Commander
Dabei seit
Sep. 2008
Beiträge
1.289
Man betreibt auch Windows Server 2013 selbst, nur wie sicher sind Daten darauf?
Der beste Schutz den man haben kann, ist es keine allgemeine Software zu nutzen.

Firmen brauchen Software die sich ein Hacker nicht selbst zuhause aufspielen kann.
Alles was angreifbar ist, sind Apache & sonstige Web Software.
Am besten sollte man jede Firma dazu gesetzlich verpflichten sobald sie sich die Programmierer leisten können.

Security / Überwachungs Probleme gibt es überhaupt erst seit dem alles zentralisiert und standardisiert wurde.
Fliegt eine Lücke auf, sind gleich alle bedroht. Noch bevor man diese schließen kann, ist der Schaden angerichtet.
Ich denke eher, dass opensource Systeme sicherer sind, also selbst zusammengehacktes Zeug...
 

ice-breaker

Commodore
Dabei seit
Nov. 2008
Beiträge
4.133
Gerade der SSL-Bug ist doch DAS Paradebeispiel für OS. Open Source wird von viel mehr Leuten unter die Lupe genommen wie ClosedSource, eben weil der Quellcode vorliegt.
Aber es ist auch das Paradebeispiel um zu zeigen, dass diese idealisierte Vorstellung von OpenSource eben nicht stimmt. OpenSSL und Debian wird millionenfach genutzt und trotzdem konnte so eine Lücke 2 Jahre existieren. Eben weil doch kaum jemand den Quelltext sich angesehen hat, wie es oft als Vorteil propagiert wird. Oder eben, weil sich der Quelltext nicht so genau angesehen wird, denn das kostet immens viel Zeit.
 
Top