Wie heute bekannt wurde hat ein Benutzer durch eine restriktive AppArmor-Konfiguration einige merkwürdige Dateizugriffe von Skype festgestellt, was auch prompt für Verwirrungen sorgte und einigen Staub aufwirbelte. Nun zeigt die Heise Meldung, dass die Kartoffel doch nicht so heiß ist wie sie gekocht wurde und der Verdacht der Spionage eher zweifelhaft ist.
Allerdings zeigt dieses Beispiel sehr schön welche Vorteile quelloffene Software und offene Protokolle bieten: Vertrauen. Während man bei Closed Source dem (oftmals kommerziellen) Anbieter vertrauen muss hat man bei Open Source die Gewissheit, dass man nicht ausspioniert wird - es würde sofort auffallen. Das liegt einfach in den vollkommen verschiedenen Sichtweisen von CS und OS. Der Anbieter von CS versucht möglichst viel zu verheimlichen, weil es sich um seine "Technologie" handelt, die der Mitbewerber nicht kennen soll. Dagegen hat der OS Programmierer ein gegenteiliges Anliegen. Er möchte, dass seine Software möglichst offen ist, damit viele Leute sich an der Entwicklung beteiligen können. Viele OS-Programme entstanden auch aus der Not heraus, dass der Programmierer eine entsprechende Anwendung für sich selbst benötigte. Daher ist es eher unwahrscheinlich, dass sich in solcher Software Schad- oder Spionageroutinen befinden.
Das ist einer der Gründe warum ich sehr von FOSS überzeugt bin und versuche möglichst auf properitäre Software/Formate/Protokolle zu verzichten. Wer freies Instant Messaging sucht wird sicherlich bei Jabber fündig werden. Das Jabber-Protokoll hat den Vorteil, dass es offen und frei ist. Man ist an keinen properitären Client eines Herstellers gebunden, sondern kann sich sein eigenes Lieblingsprogramm suchen. Daneben lässt sich die Verbindung mit GPG (bei manchen Clients sogar schon mit OTR) End-to-End verschlüsseln, so dass da niemand etwas mitloggen kann. Und zu guter letzt gibt es bei Jabber kein großes gemeinsames Netz sondern viele kleine unabhängige Netze, die miteinander kommunizieren können. Damit ist bei einem Ausfall nur ein sehr kleiner Teil der Jabber Nutzer betroffen - der Rest plaudert weiter. Gerade bei Skype hatte man in den letzten Tagen schmerzhaft feststellen müssen, welche Seiteneffekte so ein Windows-Update haben kann.
Aber es ist halt doch nicht so einfach. Skype ist derzeit die - mir persönlich - einzig bekannte VoIP Anwendung, die einigermaßen zuverlässig funktioniert und dabei 'ne vernünftige GUI hat (siehe auch bei apachelogger). Paket herunterladen, installieren, anmelden bzw. einloggen und dann kann's im Regelfall schon losgehen. Für Jabber gibt es derzeit keine vernünftige Umsetzung von Jingle, die auch wirklich läuft und SIP Clients sehen oft scheiße aus und sind meistens von der Konfiguration unschön (besonders im Zusammenspiel mit Firewall, NAT u.ä.). Wer einfach nur VoIPen will, möchte sowas nicht benutzen (ok, Geeks Nerds vielleicht ;) ).
Ich muss zugeben, dass Skype für mich derzeit alternativlos wäre. Wenn ich mit jemanden regelmäßig VoIPen wollte, würde ich Skype installieren und benutzen. Das ist halt einfach stressfreier.
Und was ist das Resümee aus der ganzen Geschichte? Es geht weniger darum, ob Skype nun das Firefox Verzeichnis durchsucht oder nicht, sondern ob man den Leuten von Skype vertraut oder nicht oder allgemeiner ausgedrückt: Vertraue ich dem Admin? Aus diesem Grund finde ich einen Kommentar wie diesen etwas irreführend:
Sollte ein Nutzer nicht das Wissen und das Verständniss dazu haben, Programme wie AppArmor, welches aber der nächsten Ubuntu-Version Gutsy Gibbon bereits mitinstalliert wird, zu nutzen, sei geraten, fremde Paketquellen zu meiden und ausschließlich Open Source-Software zu nutzen, bei denen dieses Problem vielleicht nicht ganz vermieden werden kann, aber zumindest schneller gefunden wird.
Wer sich die Mühe macht sein Skype mit AppArmor abzudichten, hat einfach eine grundlegende Regel des Sicherheits-1x1 nicht verstanden: Wenn ich dem Programm/Server/Admin nicht traue, dann benutze ich es nicht. Wer Skype nicht vertraut, sollte es nicht benutzen. Alle Diskussionen drumherum - besteht Grund zur Sorge oder nicht, was wäre wenn Skype tatsächlich spionieren würde, wie man Skype mit Firewall/AppArmor/Chroot/foo abdichtet - sind einfach nur heiße Luft und Inhalt für diverse einschlägige Computer"fach"zeitschriften.
Die Aussage "Während man bei Closed Source dem (oftmals kommerziellen) Anbieter vertrauen muss hat man bei Open Source die Gewissheit, dass man nicht ausspioniert wird - es würde sofort auffallen." ist falsch.
Der Vorteil von OS ist nicht, dass sowas sofort auffällt, denn die wenigsten User schauen sich eben mal ein paar Tausend Zeilen Code an.
Der Vorteil ist, sollte es zu Problemen oder seltsamen Effekten kommen, sich jeder den Quellcode anschauen kann. Das ist ein Unterschied.