CR209: Open-Source-Finanzierung

Musik: Die eingereichten Vorschläge für Opener. Datum: 26.02.2015, 22 Uhr Moderation: Marcus Richter Ort: CCCB, Marienstrasse 11 Gäste: erdgeist, Lasse, Matthias Kirschner (FSFE) (angefragt), Danimo, je nach Bedarf, zum Thema Dual-Licensing Shownotes-Pad: <https://shownot.es/doc/cr-209/edit/>

Ankündigung

Wer E-Mail-Verschlüsselung sagt, meint meist: GnuPG. Doch obwohl das Programm als Standard gilt, scheiterte ein Spendenaufruf, der die Kosten für Erhaltung, Pflege und Weiterentwicklung ermöglichen sollte, beinahe. Und GnuPG ist kein Einzelfall: Die nachhaltige Finanzierung von Open Source-Projekten ist schwierig, obwohl viele Projekte immer wichtiger für die zentrale Infrastruktur im Netz werden. Welche Modelle gibt es? Welche sind denkbar? Darüber diskutiert Moderator Marcus Richter am Donnerstag den 26.02. ab 22 Uhr. mit Gästen aus dem CCC sowie Matthias Kirschner von der Free Software Foundation Europe live im CCCB in der Marienstrasse 11. Einlass ab 19 Uhr. Der Eintritt ist frei.

Inhalt

  • Laut Open Source Initiative (OSI):
    • Software die frei genutz, geändert und geteilt werden (modifiziert oder unmodifiziert).
    • Weitere Voraussetzungen für OSS sind
  • freie Verteilung, Verfügbarkeit des Source-Codes, keine Diskriminierung von Gruppen oder Personen
  • OSI pflegt Liste von Open-Source-kompatiblen Lizenzen (z. B. Apache License 2.0, BSD 2 und 3, GNU General Public License (GPL), GNU Library or “Lesser” General Public License (LGPL), MIT license, Mozilla Public License 2.0

Was noch?

  • Beerware
  • Mehrfachlizenzierung (Alfresco: GPL + kommerzielle Lizenz ), Qt, ownCloud
  • http://www.gnome.org/groupon/ Gnome sammelte Spenden, um sich gegen Groupon zu wehren, welche nun im Projekt verwendet werden
  • Wikipedias Spendenaufrufe
  • GSOC Google Summer of Code (Finanzierung von Entwicklern), siehe auch Season of KDE
  • Ubuntu Download Page mit Spendenaufruf
  • Duallizensierung (Qt, MySQL, townCloud)
  • Spenden / Crowdfounding (Gabriel Weinberg, Founder DuckDuckGo, spendet 10% der Einnahmen an Open-Source-Projekte und ruft andere Firmen auf, das ebenso zu tun)
  • Weiterentwicklungen bezahlt durch die Firmen, die die Software einsetzen: Netflix FreeBSD, Intel Kernel, Google Webkit
  • Firmen stellen Entwickler ein, um sicherzustellen, dass diese daran weiterentwickeln, llvm
  • Open Source Produktentwicklung wird durch Projektarbeit / Service & Support gegenfinanziert
    • Vorteil: Software wird von OSS Entwicklern selbst in der “Real World” eingesetzt
    • Nachteil: OSS Entwickler vertun ihre Zeit mit Anwendung der Software anstatt diese weiterzuentwickeln
  • Firma stellt eigenes Projekte unter freie Lizenz: Facebook HipHop, Google Android
  • Firmen übernehmen Opensource Projekt: Apple CUPS
  • Öffentliche Förderungen
  • Foundations
    • Linux Foundation (zahlt z. B. Linus Torwalds)
    • Mozilla, FSFE, Apache)
  • Distributionen die Software paketieren und in dem Zug auch patchen / pflegen
  • GPL-Violation: Firmen nutzen Opensource, wollen aber nichts zurückgeben
  • Projekt wird nicht mehr maintained ⇒ Sicherheitslücken etc
  • Projekt stößt auf rechtliche Probleme (Patente, etc)
  • Projekt wird geg-Gag-ordered (Lavabit, Truecrypt?)
  • Projekt-Hosting: Meist kommerzielle Hoster wie Github notwendig
  • Kosten für Code-Audits und Pentesting müssen irgendwie getragen werden
  • kleine Communities
  • wenig bis keine Spenden

Persönlich:

  • Mensch muss nicht programmieren können um zu helfen. Es gibt viele Möglichkeiten sich in OSS Projekte einzubinden:
    • Fehler / Bugs melden
    • auf Mailinglisten partizipieren
    • Doku schreiben
    • Texte übersetzen
    • OSS promoten, Marketing (z. B. Screencasts), Links auf eingesetzte OSS
    • einfach mal danke sagen oder Bier schicken (wir oft unterschätzt, wie sehr das motiviert)
  • wenn Geschäftsmodell u.a. auf Open Source Software basiert (z. B. Apache) auch mal was zurückgeben (und sei es Aufmerksamkeit, Referenzen)

auf politischer Ebene:

  • “Infrastrukturkritische” OSS fördern, ggf. selbst entwickeln
CCC News
  10.03.2015 – Datengarten im CCCB, ab 20 Uhr, Ankündigung auf https://berlin.ccc.de/wiki/Datengarten
  03.04.2015 – 06.04. 2015 - EH15 in Braunschweig, Ausrichter: Stratum0 e.V. und Netz39 e. V. http://www.easterhegg.de/
Nerdnews

Lenovo hat auf einigen Notebook-Serien Ende 2014 die Software SuperFish vorinstalliert. Superfish installiert ein eigenes SSL-Rootzertifikat in Windows. Damit kann Superfish auch eigene Werbung in Webseiten einbauen, die verschlüsselt zwischen Webbrowser und Servern im Internet übertragen werden. Besonders brisant dabei ist, dass sowohl der private Key als auch dessen Passwort mit der Software ausgeliefert wurden und nun im Internet kursieren. Dadurch ist es sehr einfach, den betroffenen Rechnern gefälschte Websites unterzuschieben. Die verwendete Technologie stammt von der Firma Komodia und findet auch in anderen Produkten Verwendung. Das US CERT pflegt eine Liste mit solchen kritischen Produkten, die Ihr in den Shownotes findet . <http://www.kb.cert.org/vuls/id/529496>

Der Antivirus-Hersteller Kaspersky hat verdächtigen Code einer bislang unbekannten kriminellen Hackergruppe untersucht. Dabei ist Kaspersky auf Trojaner gestossen, welche die Firmware von Festplatten infizieren können. Indizien deuten darauf hin, dass die Gruppe, von Kaspersky “Equation-Group” getauft, enge Kontakte zur NSA unterhält. Nach “Thunderstrike” und “Bad USB” ist damit Malware für eine weitere PC-Komponente bestätigt, die auch eine Neuinstallationen des Betriebssystems übersteht.

Der Film “Citizen Four” der US-Filmemacherin Laura Poitras ist in der Kategorie “beste Reportage” mit einem Oscar ausgezeichnet worden. “Citizen Four” zeigt den ersten Teil von Edward Snowdens' Flucht. Er begleitet den Whistleblower bei seinen ersten Treffen mit Poitras und dem Journalisten Glenn Greenwald in einem Hotel in Hongkong. Doch nicht allen schmeckt der Film: Ein ehemaliger amerikanischer Navy-Offizier strebt einen Gerichtsprozess gegen Poitras und die Produktionsfima “Weinstein Company” wegen angeblicher Veröffentlichung von Staatsgeheimnissen an. (Weinstein → gesprochen “Weinstien”)

Quellen:

Unverwertet: * Keylogger bei der TAZ: http://www.heise.de/newsticker/meldung/Keylogger-taz-stellt-Strafanzeige-gegen-Mitarbeiter-2558039.html Bei der TAZ wurde ein Mitarbeiter erwischt wie er einen Keylogger von einem anderen Mittarbeiter PC abzog. Auf diese Weise konnten möglicherweise sensible Daten aus der Redaktion entwendet werden.

Das Mobile Handset Exploitation Team (MHET) der NSA scheint bei mehreren Netzprovider und SIM Karten herstellern die Privatkeys welche zur verschlüsselung und autentifizierung in Mobilfunknetzen genutzt werden entwendet. Dies ermöglicht ein einfaches Abhören und Manipulieren der Mobilfunk Kommunikation.

  • cr/cr209.txt
  • Last modified: 2015/03/06 10:58
  • by derpeter