7-Zip ist freie Software mit offenem Quelltext. Der Großteil des Codes ist unter der GNU LGPL lizensiert. Einige Teile des Quelltextes stehen unter der 3-Klausel-BSD-Lizenz. Der unRAR-Code steht zusätzlich unter gewissen Lizenzeinschränkungen. Für weitere Informationen siehe:

7-Zip is free software with open source. The most of the code is under the GNU LGPL license. Some parts of the code are under the BSD 3-clause License. Also there is unRAR license restriction for some parts of the code.

Insofern baue ich mal darauf, dass der Quellcode von anderen gesichtet wurde und wird. 

Beste Grüße
Christian Ockenfels

Das BSI spricht im Bereich Verschlüsselung sogar eine Empfehlung für 7-Zip aus:

BSI - Soft- und hardwaregestützte Verschlüsselung - Verschlüsselung mit Software & Hardware (bund.de)

Andererseits muss man auch immer Augen und Ohnen offenhalten, was 7-Zip angeht:

Jetzt updaten! Hochriskante Sicherheitslücken in 7-Zip ermöglichen Codeschmuggel | heise online

Danke, Interessant. Leider verstehe ich nur Bahnhof. "Gnu" kenne ich, ein Tier mit Hörnern in Afrika.

---

---

@Neu_hier  schrieb:

Danke, Interessant. Leider verstehe ich nur Bahnhof. "Gnu" kenne ich, ein Tier mit Hörnern in Afrika.

---

---

GNU-Public-License:

https://de.wikipedia.org/wiki/GNU_General_Public_License

Antilopenart:

https://de.wikipedia.org/wiki/Gnus

Zumindest das Logo ist tatsächlich ein Gnu:

GNU – Wikipedia

Ich fasse den IT-Kauderwelsch mal für Nicht-Nerds zusammen.

Die Software 7-Zip hat offensichtlich eine Person programmiert, die in Russland lebt oder daher kommt.

Das, was diese Person programmiert hat, kann von unabhängigen Dritten eingesehen und nachvollzogen werden.

Stellen Sie sich das so vor: Sie gehen in ein Restaurant und essen Pelmeni (russische Teigkrapfen). Jetzt haben Sie Sorgen, dass der russische Koch Sie vergiften könne. Um dem entgegenzuwirken, dürfen Sie jederzeit in die Küche und sich die Zutaten ansehen und auch zusehen, wie der Koch aus den Zutaten Ihre Mahlzeit herstellt. Im nächsten Schritt - dem Transport der Mahlzeit an Ihren Tisch - besteht möglicherweise eine kleine Sicherheitslücke: wenn Sie selbst nicht geübt sind im Kellnern, müssen Sie einen Kellner bitten, dass er Ihnen die gerade frisch zubereitete Mahlzeit an den Tisch bringt. Aber Sie können natürlich auch den Kellner nie aus den Augen lassen, um das Risiko zu minimieren 😉

So ähnlich verhält es sich hier mit GNU, Open Source und 7-Zip.

Und Sie dürfen nicht nur beim Kochen zusehen, sondern auch mitkochen.

Sehr gute Erklärung! Danke

---

@andrereissig  schrieb:

Und Sie dürfen nicht nur beim Kochen zusehen, sondern auch mitkochen.

---

Wenn man denn kochen kann - ich meine, Quelltext lesen und verstehen sind schon zweierlei, eine sinnvolle "Contribution" dazu zu leisten steht schon auf einem anderen (höheren) Level. 😉 

---

Jetzt haben Sie Sorgen, dass der russische Koch Sie vergiften könne. Um dem entgegenzuwirken, dürfen Sie jederzeit in die Küche und sich die Zutaten ansehen und auch zusehen, wie der Koch aus den Zutaten Ihre Mahlzeit herstellt.

Ich würde vorher das Mehl vergiften. Mahlzeit.

Ein Tropfen Polonium würde wohl auch bei einer gründlichen Inspektion und unter Zuhilfenahme aller Sinne unentdeckt bleiben. Von daher: ein gewisses Restrisiko bleibt immer.

Aber die Frage, die man sich stellen sollte, ist doch immer gleich: Warum sollte der Koch ausgerechnet mich vergiften - bzw. warum sollte ausgerechnet in meiner 7-Zip Installation eine Malware eingebaut sein, die die Daten direkt in den Kremel funkt. (Denn grundsätzlich ist zumindest mir bei 7-Zip in den letzten aktuellen Versionen nichts dergleichen zu Ohren gekommen.)

Grundsätzlich ausschließen kann man sowas natürlich nicht - die Frage ist nur, ob der durchschnittliche Blumenhändler befürchten muss, vergiftetes Essen zu essen bzw. dass sein "intellectual property" nach Russland "verschifft" wird, weil er/sie eine "verseuchte" Software benutzt. Ich würde das eher verneinen.

---

@Seeker  schrieb:

Ich würde vorher das Mehl vergiften. Mahlzeit.

---

Grundsätzlich ist Open Source Software natürlich kein Garant dafür, dass das fertige Produkt - in dem Fall 7-Zip - keine Schadsoftware enthält. Denn ein Angreifer könnte natürlich auch den frei verfügbaren Quellcode nehmen, diesen um eigenen, schadhaften Code ergänzen, kompilieren und daraus ein Produkt bauen, welches 7-Zip absolut ähnlich sieht und auch alles das macht, was 7-Zip macht. Und eben darüberhinaus die gezippten Dateien auf der Nextcloud von Putin ablegt. Das würde wahrscheinlich lange unentdeckt bleiben (wenn man nicht die Prüfsummen vergleicht bei der Installation). Ich halte das Risiko in diesem konkreten Fall für absolut überschaubar.

Ich würde jetzt einfach mal nur "xz utils" in den Raum werfen...

 -> Everything I know about the XZ backdoor (boehs.org)

Wenn man sich den Verlauf, wie es bei xy utils zu der Backdoor gekommen ist, ansieht, merkt man aber auch, dass da einige Leute gepennt haben...

Auch bei 7-zip gab es Probleme, die zunächst ignoriert wurden: 

https://www.borncity.com/blog/2018/02/20/warnung-auf-7-zip-verzichten/

https://administrator.de/knowledge/sicherheitsrisiko-die-krux-mit-7-zip-365378.html

Das war vor, genau, 6 Jahren. Ich sage ja auch nicht, dass die Software heute risikolos eingesetzt werden kann. Aber das gilt für so ziemlich jede Software. Und gerade bei 7-Zip sind seit dem Vorfall doch alle sensibilisiert und haben vermehrt ein Auge drauf, dass sich das - oder ähnliches - nicht wiederholt. 

---

@seb_ms  schrieb:

...Und gerade bei 7-Zip sind seit dem Vorfall doch alle sensibilisiert und haben vermehrt ein Auge drauf, dass sich das - oder ähnliches - nicht wiederholt. 

---

Das ist in der Tat ein wesentlicher Vorteil von freier Software. Ich habe es für erwähnenswert gehalten, weil der Entwickler damals nicht nur "gepennt", sondern trotz sicherheitsrelevanter Hinweise auf "Durchzug" geschaltet hatte. Bei der Frage bzgl. der Integrität würde ich nicht den russischen Hintergrund, sondern den Umgang mit solchen Hinweisen in den Blick nehmen. Ich vermute, dass Hr. Pavlov nicht nur die Software, sondern auch sich selbst weiterentwickelt hat. Aus meiner Sicht spricht aktuell nichts dagegen, das Programm zu verwenden und ggf. zu unterstützen.    

---

das ist ein packprogramm.. das nicht als dienst im hintergrund läuft und 100 offene ports bereitstellt.

zudem ist es relativ klein.. und die codezeilen können geprüft werden (quelloffen).

 

Bei aller Wertschätzung für die Entwicklerleistung: Zur Wahrheit gehört, dass es bei den damaligen Risikobetrachtungen nicht um Programmgröße, Dienstestart und offene Ports ging, sondern um mögliche Schadecodeausführungen aufgrund von Nachlässigkeiten bei der Kompilierung des kleinen und sicherlich sorgfältig geprüften Quellcodes. Der Entwickler soll sich über mehrere Jahre geweigert haben, u.a. bereits damals übliche sicherheitsrelevante Compiler-Flags zu setzen, um eine minimale Binärgröße und eine bestmögliche Laufzeit zu erreichen.

---

zudem muss es auch nicht immer aktuell gehalten werden, da es praktisch immer die gleichen jobs erledigt ohne auf fast gar nichts rücksicht nehmen zu müssen.

Da auch bei Packprogrammen Sicherheitslücken mit der Risikobeurteilung hoch auftreten (Beispiel), dürfte den meisten Anwendern zu empfehlen sein, auch solche Programme möglichst aktuell zu halten. 

---

@Gelöschter Nutzer  schrieb:

du nimmst deine infos aus diesem artikel?!:

https://www.borncity.com/blog/2018/02/20/warnung-auf-7-zip-verzichten/

 

dann auch bis ganz unten lesen.. nachtrag 2.

In vorausgegangenen Beiträgen sind die Quellen genannt (#15), das Alter der mittlerweile geschlossenen Sicherheitslücken thematisiert (#16) sowie eine Begründung für die Erwähnung (#17) gegeben worden.

Bei den meisten großen Open Source Softwares wie 7-Zip würde es auch sehr schnell auffallen, wenn einer der Entwickler Schadsoftware einbaut. Ich persönlich kenne Menschen, welche Open Source Code in ihrer Freizeit lesen und prüfen wie manch anderer einen Roman.
Wie bereits beschrieben ist es natürlich immer wichtig, die Softwares aus vertrauenswürdigen Quellen zu beziehen, am besten direkt von den Entwicklern z.B. auf Github. Auch Webseiten wie Chip.de kann man heutzutage bei Softwaredownloads leider kaum noch vertrauen.
Am sichersten wäre es, sich die Software selbst zu kompilieren, aber das kann vom 0815-Anwender natürlich nicht erwartet werden.