Full Disclosure

Editorial

16.09.2009

Sehr geehrte Leserinnen und Leser,

eine der gängigen und nicht umzubringenden Mythen über Linux lautet, bei dem freien Betriebssystem handle es sich um ein immanent sicheres Stück Software. Um es klar und deutlich zu sagen: So etwas wie von Haus aus sichere Software gibt es nicht. Jedes Betriebssystem und jede umfangreichere Anwendung enthalten Fehler, die sich ein Angreifer zunutze machen kann, um Systeme zu blockieren, zu infiltrieren oder seine Rechte auszuweiten. Open Source im Allgemeinen und Linux im Speziellen bilden da keine Ausnahme.

Trotzdem glauben offenbar nach wie vor viele Anwender an die Mär vom grundsätzlich wasserdichten Betriebssystem. Anders ist es nicht zu erklären, dass Mitte August ein wahrer Mediensturm losbrach, als ein Null-Pointer-Bug [1] im Kernel entdeckt wurde, über den sich ein Angreifer Root-Rechte auf dem attackierten System verschaffen konnte (nähere Details dazu auf Seite 17). Die Reaktionen reichten stilistisch vom entsetzten "Wir werden alle sterben!" der Märchengläubigen bis zum befriedigten "Haben wir doch schon immer gewusst …" der Redmond-Fraktion.

Schön, der auslösende Bug existiert schon recht lange – acht Jahre, sodass er alle Kernel-Versionen seit 2001 betrifft. Da lässt sich nun trefflich drüber streiten, ob quelloffene Software das Auffinden von Sicherheitslücken gegenüber Closed Source wirklich erleichtert. Der Bug an sich aber war ein solches Getöse gar nicht wert, setzt sein Ausnutzen doch voraus, dass der Angreifer auf dem attackierten System bereits das Recht zum Ausführen von Code besitzt. Grob gesagt können also nur lokale Benutzer über die Sicherheitslücke ihre Rechte ausweiten, ein Angriff aus der Ferne funktioniert nicht.

Das ist aber gar nicht der springende Punkt an der Angelegenheit. Der liegt darin, dass die Sicherheitslücke noch am Tag des Bekanntwerdens gefixt wurde – Linux Torvalds selbst nahm sich der Sache an. Hier sehen wir beste Open-Source-Tradition: Die Programmierer nehmen Probleme sofort in Angriff, veröffentlichen schnell Lösungen und halten so das Verwundbarkeitsfenster extrem klein. Darin liegt eine der Wurzeln der eingangs erwähnten Mär vom "sicheren Betriebssystem". Die andere entspringt der Tradition des so genannten Full Disclosure [2] – dass man also sicherheitsrelevante Bugs sofort und umfassend publik macht, sodass der Anwender sich vorsehen und durch Workarounds schützen kann, bis ein Patch vorliegt.

Hier unterscheiden sich Linux und Open Source wesentlich von der Windows- und Closed-Source-Welt: Dort halten Softwarehersteller regelmäßig Sicherheitslücken ungeachtet ihrer Gefährlichkeit vor den Benutzern geheim, bis sie sich nach Wochen ("Microsoft Patch Day", [3]), Monaten oder in manchen Fällen sogar Jahren bequemen, sie endlich einmal zu beseitigen. Gelegentlich bleiben die Lücken, obschon längst bekannt, auch so lange offen stehen, bis der schlimmste Fall eintritt und darauf basierende Schadsoftware tausende Rechner infiziert [4].

Das gibt es unter Linux nicht – insofern enthält die Legende von "sicheren Betriebssystem" dann doch das sprichwörtliche Körnchen Wahrheit. Der schnellste Bugfix aber hilft nichts, wenn Sie ihn nicht auch umgehend einspielen. Alle gängigen Distributionen informieren Sie mithilfe entsprechender Applets über das Vorliegen neuer Software-Aktualisierungen und bieten deren automatische Installation an. Nutzen Sie diese Möglichkeit – dann dürfen Sie sich zurecht entspannt im Bürostuhl zurücklehnen.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2015: Daten visualisieren

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...