Aus LinuxUser 11/2014

Editorial 11/2014

Linus' Gesetz

Heartbleed und Shellshock sogren für Medienrummel. Aber sobald sich die Aufregung gelegt hat, bleiben zwei Erkenntnisse: Freie Software liegt bei der Sicherheit trotzdem vorne, und große Unternehmen nehme bei freier Software lieber als sie geben. Eine Unverschämtheit, findet Chefredakteur Jörg Luther.

Sehr geehrte Leserinnen und Leser,

erst Heartbleed, jetzt Shellshock – zum zweiten Mal binnen eines Jahres geraten Open Source im Allgemeinen und Linux im Besonderen ins Zentrum eines Medienrummels rund um Internetsicherheit. Weil die neue Lücke im Wesentlichen das Einspeisen von Schadcode auf Webservern über CGI-Skripte ermöglicht, betrifft sie eine Unmenge von Systemen. Entsprechend hoch schlagen die medialen Wellen: Da wird von schlechtem Code gefaselt und vom Versagen des Open-Source-Entwicklungsmodells – alles FUD.

Die Grundlage von Shellshock [1] bildet im Grunde genommen gar kein Bug, sondern ein uraltes Feature der Bash: Sie erlaubt, in Umgebungsvariablen nicht nur Informationen zu speichern, sondern auch Funktionen, die der Benutzer dann später abrufen kann. Das weiß man seit Jahrzehnten, und aus diesem Grund gilt ebenso lange der Grundsatz, das Environment zurückzusetzen, bevor man eine Shell mit nicht vertrauenswürdigem Input aufruft. Das aber haben Tausende Entwickler in der Vergangenheit fröhlich ignoriert und ihre (Web-)Anwendungen ungeniert unter der Prämisse zusammengestrickt, dass die Bash es schon richten wird. Hier liegt der wirkliche Bug: Menschliches Versagen.

Ein System lässt sich nicht aus der Ferne kompromittieren, nur weil darauf die Bash läuft: Eine verwundbare Anwendung muss die Shell über das Netzwerk zugänglich machen und dann Input aus nicht authentifizierten Quellen ungeprüft und ohne die geringste Vorsichtsmaßnahme in die Bash pumpen. Das meistverbreitete Angriffsziel dürften Apache-Webserver darstellen, die schlecht programmierte CGI-Skripte verwenden [2]; es gibt aber noch mehr Vektoren für solche Attacken [3].

Was den FUD betrifft: Die GNU Bash stammt von 1985, die ausgenutzte Funktion von 1992 [4]. Man sieht dem Code der Shell durchaus sein Alter an [5]; er hat aber jahrzehntelang zuverlässig seinen Dienst versehen und gilt als bombenstabil. Bedeutet es ein Versagen des Open-Source-Entwicklungsmodells, dass zwanzig Jahre lang niemand das Problem bemerkt hat? Schon die Entdeckung spricht dagegen, denn die Lücke konnte nur aufgedeckt werden, weil die Bash eben quelloffen ist und nicht etwa Closed Source. Und auch der schnelle Bugfix – binnen 48 Stunden war die „Sicherheitslücke“ in fast allen gängigen Distributionen geschlossen – hätte bei proprietärem Code nie funktioniert.

Linus‘ Gesetz – „Genügend Augäpfel vorausgesetzt, ist jeder Bug harmlos.“ [6] – gilt also nach wie vor – allerdings fehlen offensichtlich genügend Augäpfel. Es ist das alte Problem: Hunderttausende von Unternehmen nutzen Open Source, um im Internet gutes Geld zu verdienen, in vielen Fällen Millionen und bei manchen Firmen Milliarden jährlich. Die Gewinne schüttet die Industrie dann aber lieber an die Shareholder aus, statt wenigstens ein paar Brosamen zurück an die Community zu geben, die damit Entwickler für Wartung und Auditing der Software finanzieren könnte.

Wieder einmal, wie schon bei Heartbleed, muss es jetzt wohl die Linux Foundation richten. Bis jetzt nehmen gerade einmal 200 Unternehmen als Mitglieder dieser Organisation ihre Verantwortung in Sachen Open Source wahr und finanzieren die Weiterentwicklung freier Software. Man kann nur hoffen, dass deren glänzendes Beispiel endlich Schule macht.

Herzliche Grüße,

Jörg Luther

Chefredakteur

Infos

[1] Shellshock: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

[2] „Shellshock in the Wild“: http://www.fireeye.com/blog/uncategorized/2014/09/shellshock-in-the-wild.html

[3] „Shell Shock Exploitation Vectors“: https://www.dfranke.us/posts/2014-09-27-shell-shock-exploitation-vectors.html

[4] „The Internet Is Broken, and Shellshock Is Just the Start of Our Woes“: http://www.wired.com/2014/09/shellshocked-bash/

[5] „The shockingly obsolete code of bash“: http://blog.erratasec.com/2014/09/the-shockingly-bad-code-of-bash.html

[6] Linus‘ Gesetz: http://en.wikipedia.org/wiki/Linus%27s_Law

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
KAUFEN
LinuxUser 11/2014 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: