Editorial 11/2014

Linus' Gesetz

Heartbleed und Shellshock sogren für Medienrummel. Aber sobald sich die Aufregung gelegt hat, bleiben zwei Erkenntnisse: Freie Software liegt bei der Sicherheit trotzdem vorne, und große Unternehmen nehme bei freier Software lieber als sie geben. Eine Unverschämtheit, findet Chefredakteur Jörg Luther.

Sehr geehrte Leserinnen und Leser,

erst Heartbleed, jetzt Shellshock – zum zweiten Mal binnen eines Jahres geraten Open Source im Allgemeinen und Linux im Besonderen ins Zentrum eines Medienrummels rund um Internetsicherheit. Weil die neue Lücke im Wesentlichen das Einspeisen von Schadcode auf Webservern über CGI-Skripte ermöglicht, betrifft sie eine Unmenge von Systemen. Entsprechend hoch schlagen die medialen Wellen: Da wird von schlechtem Code gefaselt und vom Versagen des Open-Source-Entwicklungsmodells – alles FUD.

Die Grundlage von Shellshock [1] bildet im Grunde genommen gar kein Bug, sondern ein uraltes Feature der Bash: Sie erlaubt, in Umgebungsvariablen nicht nur Informationen zu speichern, sondern auch Funktionen, die der Benutzer dann später abrufen kann. Das weiß man seit Jahrzehnten, und aus diesem Grund gilt ebenso lange der Grundsatz, das Environment zurückzusetzen, bevor man eine Shell mit nicht vertrauenswürdigem Input aufruft. Das aber haben Tausende Entwickler in der Vergangenheit fröhlich ignoriert und ihre (Web-)Anwendungen ungeniert unter der Prämisse zusammengestrickt, dass die Bash es schon richten wird. Hier liegt der wirkliche Bug: Menschliches Versagen.

Ein System lässt sich nicht aus der Ferne kompromittieren, nur weil darauf die Bash läuft: Eine verwundbare Anwendung muss die Shell über das Netzwerk zugänglich machen und dann Input aus nicht authentifizierten Quellen ungeprüft und ohne die geringste Vorsichtsmaßnahme in die Bash pumpen. Das meistverbreitete Angriffsziel dürften Apache-Webserver darstellen, die schlecht programmierte CGI-Skripte verwenden [2]; es gibt aber noch mehr Vektoren für solche Attacken [3].

Was den FUD betrifft: Die GNU Bash stammt von 1985, die ausgenutzte Funktion von 1992 [4]. Man sieht dem Code der Shell durchaus sein Alter an [5]; er hat aber jahrzehntelang zuverlässig seinen Dienst versehen und gilt als bombenstabil. Bedeutet es ein Versagen des Open-Source-Entwicklungsmodells, dass zwanzig Jahre lang niemand das Problem bemerkt hat? Schon die Entdeckung spricht dagegen, denn die Lücke konnte nur aufgedeckt werden, weil die Bash eben quelloffen ist und nicht etwa Closed Source. Und auch der schnelle Bugfix – binnen 48 Stunden war die "Sicherheitslücke" in fast allen gängigen Distributionen geschlossen – hätte bei proprietärem Code nie funktioniert.

Linus' Gesetz – "Genügend Augäpfel vorausgesetzt, ist jeder Bug harmlos." [6] – gilt also nach wie vor – allerdings fehlen offensichtlich genügend Augäpfel. Es ist das alte Problem: Hunderttausende von Unternehmen nutzen Open Source, um im Internet gutes Geld zu verdienen, in vielen Fällen Millionen und bei manchen Firmen Milliarden jährlich. Die Gewinne schüttet die Industrie dann aber lieber an die Shareholder aus, statt wenigstens ein paar Brosamen zurück an die Community zu geben, die damit Entwickler für Wartung und Auditing der Software finanzieren könnte.

Wieder einmal, wie schon bei Heartbleed, muss es jetzt wohl die Linux Foundation richten. Bis jetzt nehmen gerade einmal 200 Unternehmen als Mitglieder dieser Organisation ihre Verantwortung in Sachen Open Source wahr und finanzieren die Weiterentwicklung freier Software. Man kann nur hoffen, dass deren glänzendes Beispiel endlich Schule macht.

Herzliche Grüße,

Jörg Luther

Chefredakteur

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Editorial 06/2014
    Der Heartbleed-Bug hat gezeigt, das Open-Source-Software nicht vor Fehlern schützt. Aber Freie Software bietet Unternehmen weltweit die Möglichkeit, Ressourcen ohne Gesichtsverlust auf einem Projekt zu vereinen. Das nutzt allen.
  • Knoppix 7.4.2 veröffentlicht
    Klaus Knopper hat seine beliebte Live-Distribution Knoppix aktualisiert. Sie hebt vor allem einige Programme auf eine neue Versionsnummer und beseitigt den Shellshock-Bug in der Bash.
  • Editorial
  • Lug und Trug
    Angesichts einer Regierung, die systematisch und rechtswidrig den Bürger abhören lässt, kommt effektiver Verschlüsselung bei der Wahrung der Privatsphäre eine entscheidende Rolle zu, meint Chefredakteur Jörg Luther.
  • Osterhasi, Nikolausi
    Dass die NSA alles überwacht, gehört mittlerweile zum Alltag. Dass die hessische Justizministerin versucht, in die gleiche Kerbe zu schlagen, ist ein starkes Stück, meint Chefredakteur Jörg Luther.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...