Linus Torvalds plädiert für das Aufdecken von Sicherheitsproblemen

BetriebssystemIT-ManagementIT-ProjekteOpen SourceSicherheitSicherheitsmanagementSoftwareWorkspace
security-sicherheit (Bild: Shutterstock)

Auf einer Linux-Konferenz in Australien hat sich Linus Torvalds dafür eingesetzt, Sicherheitslücken in Linux offenzulegen. Sicherheit an sich stelle weiterhin ein großes Problem dar. Als befriedigend bezeichnete der Linux-Erfinder hingegen, dass die Zahl der aufgedeckten Schwachstellen zunehme.

Linus Torvalds plädiert für das Aufdecken von Sicherheitsproblemen (Bild: Shutterstock)

“Ich bin ein großer Verfechter der Offenlegung”, erklärte Torvalds. Es gebe zwar Leute, die bereits seit Jahrzehnten argumentierten, niemand wolle über Sicherheitsprobleme sprechen, da dies lediglich den “bösen Hackern” helfe. “Tatsache ist, dass ich davon vollkommen überzeugt bin, dass man sie melden muss, und dass man sie in einem angemessenen Zeitrahmen melden muss.”

“Der Zeitrahmen für die Kernel Security List ist zugegebenermaßen fünf Arbeitstage, was einige Leute für ein wenig extrem halten. Bei anderen Projekten ist es vielleicht ein Monat oder mehrere Monate, aber das ist immer noch besser als Jahre über Jahre des Stillschweigens, was wir bisher hatten”, so Torvalds weiter.

Der Linux-Erfinder schaltet sich mit seinen Kommentaren – zumindest indirekt – in einen Streit zwischen Google und Microsoft ein, in dem es um die verantwortungsvolle Aufdeckung von Sicherheitslücken geht. Google hatte kürzlich Einzelheiten zu drei Schwachstellen in Windows 7 und 8.1 offengelegt, für die Microsoft noch keine Patches verfügbar gemacht hatte. Die Schwachstellen hatte Google im Zuge seines Project Zero entdeckt und sie nach einer selbst gesetzten Sperrfrist von 90 Tagen veröffentlicht.

In zumindest zwei Fällen hatte Microsoft Google um eine Fristverlängerung gebeten, da es einen Patch in der vorgegebenen Zeit nicht zur Verfügung stellen konnte. Die Bekanntmachung einer der Sicherheitslücke nur zwei Tage vor Microsofts Januar-Patchday sorgte schließlich für Unstimmigkeiten zwischen den beiden Unternehmen.

“Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien, sondern mehr wie ein “Erwischt’ an”, schrieb Chris Betz, Senior Director des Microsoft Security Response Center, vor einer Woche. Die Leidtragenden seien nun die Kunden. “Was für Google richtig ist, ist nicht immer für die Kunden richtig. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen, vorrangigem Ziel zu machen.”

Die Praxis, alle Einzelheiten einer Schwachstelle zu veröffentlichen, ist allerdings auch in Sicherheitskreisen umstritten. Der Security-Experte Graham Cluley hatte Google dafür zuletzt scharf kritisiert. “Wenn Google frustriert ist, dass Microsoft so lange für die Veröffentlichung eines Patches benötigt, dann sollte es sich mit seinen Bedenken an die Medien wenden und ihnen den Fehler zeigen – nicht aber Beispielcode veröffentlichen, den jeder ausnutzen kann”, so Cluley. Mit Blick auf Googles Entscheidung, den Support für WebView in Android 4.3 und früher einzustellen, ergänzte er: “Man stelle sich vor, Microsoft-Forscher gäben Google 90 Tage Zeit, um eine Anfälligkeit in WebView in Android 4.3 zu beseitigen, bevor sie Beispielcode für einen Exploit veröffentlichen. Ich frage mich, wie Google sich dann fühlen würde?”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen