Wie kann ich ohne Programmierer oder Computerexperte feststellen, ob ein bestimmtes Programm oder eine bestimmte Software im Allgemeinen keine unerwünschten Funktionen enthält, die den Datenschutz und die Sicherheit gefährden?
Wie kann ich ohne Programmierer oder Computerexperte feststellen, ob ein bestimmtes Programm oder eine bestimmte Software im Allgemeinen keine unerwünschten Funktionen enthält, die den Datenschutz und die Sicherheit gefährden?
Sie können feststellen, ob eine Software nur das tut, was sie ankündigt, auf die gleiche Weise, wie Sie wissen können, ob das Essen, das sie Ihnen in Restaurants serviert, vergiftet ist oder nicht. In einfachen Worten, das können Sie nicht, aber die Gesellschaft hat verschiedene Programme entwickelt, um das Problem zu lösen:
All dies kann direkt in die Welt der Software übertragen werden. Zu den extremen Methoden zur Feststellung der Softwarequalität und zur Einhaltung des veröffentlichten Verhaltens gehören sehr teure und langweilige Dinge wie Common Criteria, bei denen es im Grunde darauf ankommt, zu wissen, wer das Programm mit welchen Tools erstellt hat.
Alternative Antwort: Jede Software weist Fehler auf, sodass zu 100% garantiert wird, dass nicht genau das tut, was sie tun soll. (Diese Behauptung enthält übrigens die Software, die in etwa einem Dutzend kleiner Computer ausgeführt wird, die in Ihr Auto eingebettet sind.)
Sie können nicht, zumindest nicht mit 100% iger Genauigkeit. Als Programmierer ist es sehr einfach, alles zu codieren, was ich will, und es ist nicht unbedingt nur das, was beworben wird.
Nicht alle unerwarteten Aktivitäten sind jedoch böswillig. Ich gehe davon aus, dass Sie sich mehr Sorgen über böswillige Aktivitäten machen. Auch das ist nicht immer zu 100% möglich, aber es gibt Hoffnung.
Sie können Software verwenden, die Dinge wie Netzwerkverkehr, Dateiaktivität usw. überwacht, um Hinweise darauf zu finden, dass sich Software unerwartet verhält Weg. Zum Beispiel (und ich weiß, dass dies nur ein grundlegendes Tool ist) können Sie mit Fiddler feststellen, ob eine bestimmte Anwendung über http (s) auf das Internet zugreift. (Ja, ich weiß, dass es bessere Tools gibt. Fiddler ist nur das erste, das mir in den Sinn kommt.) Unter Windows können Sie Process Monitor verwenden, um noch mehr Einblicke zu erhalten. Ähnliche Tools gibt es auch für andere Plattformen.
Es stehen Ihnen auch mehrere andere Dienste zur Verfügung, mit denen die Analyse für Sie durchgeführt werden kann.
Insbesondere wenn Software größer und komplizierter wird, wird es selbst Experten unmöglich, darauf zu antworten. Insofern werden Datenschutz und Sicherheit einer Anwendung am besten mit den Methoden Sandbox oder Obligatorische Zugriffskontrolle behandelt. Die Idee hinter diesen Methoden ist, dass die Software in einem System ausgeführt wird, das steuert, was sie kann, und dass Sie zulassen, dass sie nur das tut, was Sie von ihr erwarten. Bei ordnungsgemäßer Ausführung können Sie mögliche Verbindungen einschränken und benachrichtigt werden, wenn das Programm jemals versucht, auf Dateien zuzugreifen, die Sie nicht erwartet haben. Sehr fortschrittliche Methoden können verwendet werden, um den Speicher zu überwachen oder den Netzwerkverkehr über einen Proxy-Dienst zu entschlüsseln.
Kurz gesagt, wenn Sie nicht alles verstehen können, was er tut, besteht die Antwort darin, alles einzuschränken, was er mit etwas tun kann läuft innerhalb von (dem Betriebssystem).
In seinem weithin bekannten ACM Turing Award-Vortrag "Reflections on Trusting Trust" (jetzt vor fast genau 30 Jahren!) sagte Ken Thompson: "Sie können Code nicht vertrauen, den Sie nicht vollständig selbst erstellt haben." In der Praxis sind kommerzielle Software keine Ausnahme von anderen kommerziellen Produkten, da diejenigen von Herstellern mit guten Namen auf dem Markt normalerweise eine höhere Wahrscheinlichkeit haben, besser zu werden. Dafür gibt es jedoch keine absolute Garantie. Vor Jahrzehnten habe ich Disketten von einem bekannten Hersteller bekommen, der Viren hatte. In diesem Fall glaube ich persönlich, dass dies keine böswillige Handlung von jemandem innerhalb der Firma war, sondern dass einige Computer der Firma von außen mit Viren infiziert wurden. Es ist jedoch offensichtlich im Allgemeinen nicht möglich, die Möglichkeit, dass Insider des Unternehmens Hintertüren in die Software einführen, zu 100% auszuschließen, unabhängig davon, ob dies dem CEO bekannt ist oder nicht. Hintertüren könnten meiner Meinung nach ein äußerst kritisches Thema sein, da sich in der Welt Cyberkriege abzeichnen. Eine Geheimagentur einer Regierung könnte nämlich auf irgendeine Weise (über Geld, Zwang oder sogar Malware) verwalten, dass solche Hintertüren in bestimmte Software implantiert werden, die normalerweise zur Gewährleistung der Sicherheit der Kommunikation dienen (z. B. solche, die für digitale Signaturen relevant sind) und verkauft werden zu und von bestimmten nicht-freundlichen oder möglicherweise nicht-freundlichen ausländischen Nationen verwendet und entweder sofort oder zu geeigneten späteren Zeitpunkten ("Zeitbomben" usw.) die Hintertüren ausnutzen, um ihre Ziele zu erreichen, die kritische Infrastruktur der Zielnationen usw. zu stören usw. Stuxnet, Flame und Gauss sind einige Namen, die einige Hinweise auf die Fähigkeiten der potenziellen Malfaiteure geben sollten.
Leider können Sie nicht ...
Da ein guter Programmierer von seinen Benutzern als bezeichnet werden könnte, wäre ein guter Trojaner vollständig fälschen eine normale Umgebung, um das Opfer ruhig zu machen.
Einige Viren / Trojaner führen eine Desinfektion des Opfersystems durch, um
Also kannst du nicht !! Im Zweifelsfall wenden Sie sich an !!!!
Letztendlich kommt es auf Vertrauen an. Vertrauen Sie dem Ruf des Unternehmens, das die Software veröffentlicht? Wenn es Open Source ist, wird es von genügend Entwicklern verwendet, um bei Problemen Flaggen zu setzen. Es gibt eine gewisse Stärke in Zahlen, da bei einem häufig verwendeten Produkt mit größerer Wahrscheinlichkeit umfangreiche Untersuchungen durchgeführt werden, wenn es vertrauenswürdig ist. Wenn Sie nicht sehr paranoid sind, ist es am besten, wenn Sie sich im Allgemeinen ansehen, was die Community zu einer bestimmten Software zu sagen hat, aber es wird immer Fehler geben und es wird immer Fehler geben.
Wie von anderen betont, gibt es keine garantierte Möglichkeit, dies zu wissen. In den meisten Fällen müssen Sie der Integrität und dem Ruf des Anbieters vertrauen. Das Befolgen sicherer Praktiken, z. B. das Installieren von Software aus vertrauenswürdigen Quellen, kann helfen, aber genau wie im wirklichen Leben vertrauen wir manchmal den falschen Personen.
Letztendlich denke ich, wir sollten ein gewisses Maß an Paranoia annehmen. Wenn Sie eine App auf Ihrem Telefon installieren, akzeptieren Sie nicht einfach oder sagen Sie "Ja", wenn Ihr Betriebssystem Sie darüber informiert, dass das Telefon Zugriff auf Ihre privaten Informationen, Ihren Standort usw. haben möchte. Fragen Sie sich, warum dieser Zugriff erforderlich ist. Wenn Sie der Meinung sind, dass der von der Anwendung angeforderte Zugriff aufgrund der von Ihnen erwarteten Leistung gerechtfertigt ist, sagen Sie "Ja", möglicherweise "OK". Auf der anderen Seite, wenn es darum geht, Zugang zu Informationen oder Diensten anzufordern, die weit außerhalb dessen liegen, was es brauchen oder interessiert sein sollte, dann seien Sie ein wenig misstrauisch und vorsichtig, bevor Sie nur Ja sagen.