Das ist es ja. Es ist häufig kaum was offen, weder Treiber noch Firmware. Hardware ist nochmal ein anderes Thema. Da ist es schwer rauszufinden, was die im Detail macht. Je nachdem was das für eine Hardware ist kann man das etwas eingrenzen. Es geht halt um Vertrauen. Dem Baseband auf einem Phone zu vertrauen ist eher was was man nicht tun will. Wenn ein Gerät mit dicker, Closed Source Firmware kommt, die ein Eigenleben führt dann macht mich das stutzig. Im Endeffekt kann man der Hardware aber auch mit offenen Treibern und offener Firmware nicht einfach so vertrauen. Aber es wäre halt cool für so kleine Geräte, die sehr weit verbreitet sind, die einigermaßen (naja, nicht wirklich) überschaubar sind und wo auch Forschungseinrichtungen viel mit arbeiten.
Der Raspberry Pi ist da finde ich ein echt tolles Beispiel. Die Userbase ist groß, alle wollen es unterstützen, hacken, etc., aber die Hardware ist alles andere als offen, nicht mal der Bootprozess ist offen. Das ist ziemlich schade, weil alle immer von Trusted Devices reden und es im Endeffekt darum geht blind zu vertrauen. Okay, TPM ist das nächste Thema, aber im Grunde geht es in eine ähnliche Richtung, die aufzeigt, dass man ja eigentlich Hardware will, der man vollkommen vertrauen kann.
Klar, man sollte sich keinesfalls einbilden, dass weil Doku existiert man absolut sicher sein kann, dass das System macht, was man will und nichts anderes, aber es geht darum dass man zumindest möglichst stark in die Richtung kommt und wenn man eben ein Gerät hat, das breite Verwendung hat wie der RPi und das von Hackern, der Industrie, Forschungseinrichtungen/Universitäten genutzt wird, dann ist die Hürde da was zu verstecken, obwohl Code und Doku da sind entsprechend groß. Man weiß ja nicht wo vielleicht jemand rumfummelt und die Chance ist nochmal größer mit Doku und Source.
Die nur zu löschen hilft da nicht. Deshalb mein Statement vom vorigen Beitrag. Was hilft ist Druck (oder Anreiz), Reverse Engineering bzw. alternativen Code schreiben oder eben entsprechendes Absichern, des Blobs oder der Hardware, was ja zum Beispiel mit Baseband Firewalls und "nicht nur blind auf Random von Intel CPUs hören, wie vorgeschlagen" auch passiert.