Linus Torvalds hat sich auf einer Linux-Konferenz in Australien für die Veröffentlichung von Sicherheitslücken ausgesprochen. Sicherheit an sich sei weiterhin ein großes Problem – dass mehr Lücken offengelegt würden, bezeichnete er hingegen als befriedigend.
„Ich bin ein großer Verfechter der Offenlegung“, sagte Torvalds. Es gebe zwar Leute, die schon seit Jahrzehnten argumentierten, niemand wolle über Sicherheitsprobleme sprechen, da das nur den „bösen Hackern“ helfe. „Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden.“
„Der Zeitrahmen für die Kernel Security List ist zugegebenermaßen fünf Arbeitstage, was einige Leute für ein wenig extrem halten. Bei anderen Projekten ist es vielleicht ein Monat oder mehrere Monate, aber das ist immer noch besser als Jahre über Jahre des Stillschweigens, was wir bisher hatten“, so Torvalds weiter.
Torvalds mischt sich mit seinen Kommentaren zumindest indirekt in einen Streit zwischen Google und Microsoft über die verantwortungsvolle Offenlegung von Sicherheitslücken ein. Der Internetkonzern hatte zuletzt Details zu drei Windows-Schwachstellen veröffentlicht, für die Microsoft noch keine Patches bereitgestellt hatte. Google hatte die Anfälligkeiten im Rahmen seines Project Zero selbst entdeckt und sie nach einer selbst gesetzten Sperrfrist von 90 Tagen publik gemacht. In mindestens zwei Fällen hatte Microsoft Google um eine Fristverlängerung gebeten, da es einen Fix in der vorgegebenen Zeit nicht bereitstellen konnte. Die Bekanntmachung einer Lücke zwei Tage vor Microsofts Patchday sorgte schließlich für Streit zwischen den beiden Unternehmen.
„Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‘Erwischt’ an“, schrieb Chris Betz, Senior Director des Microsoft Security Response Center, vor einer Woche in einem Blogeintrag. Die Leidtragenden seien nun die Kunden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“
Die Offenlegung aller Details einer Schwachstelle ist jedoch auch in Sicherheitskreisen umstritten. Der Sicherheitsexperte Graham Cluley hatte Google dafür zuletzt scharf kritisiert. „Wenn Google frustriert ist, dass Microsoft so lange für die Veröffentlichung eines Patches benötigt, dann sollte es sich mit seinen Bedenken an die Medien wenden und ihnen den Fehler zeigen – nicht aber Beispielcode veröffentlichen, den jeder ausnutzen kann“, schreibt Cluley in seinem Blog. Mit Hinblick auf Googles Entscheidung, den Support für WebView in Android 4.3 und früher einzustellen, ergänzte er: „Man stelle sich vor, Microsoft-Forscher gäben Google 90 Tage Zeit, um eine Anfälligkeit in WebView in Android 4.3 zu beseitigen, bevor sie Beispielcode für einen Exploit veröffentlichen. Ich frage mich, wie Google sich dann fühlen würde?“
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
4 Kommentare zu Linus Torvalds: Sicherheitsprobleme müssen offengelegt werden
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wie würde sich Google fühlen? Es wäre ihnen egal. Schließlich schieben sie den Schwarzen Peter den Smartphone Herstellern zu, und tun so, als wäre WebView (und nun etwa 1 Mrd betroffene Android Anwender) nicht ihr Problem.
Tatsächlich scheit Google die 18 Monate Regel für die Bereitstellung von Android Updates nicht allzu ernst zu nehmen.
Android 4.3 kam am 24. Juli 2013 heraus, d.h. es wird bereits einige Wochen vor Ablauf der 18 Monate nicht unterstützt.
Wer nun sagt ’sind doch nur wenige Tage‘, der möge daran denken, dass es bei zwei veröffentlichten MS Bugs ebenfalls ’nur zwei Tage‘ waren, die Google bis zur Veröffentlichung hätte warten sollen. Haben sie nicht, hätte weniger Aufmerksamkeit gegeben.
Das Vorgehen Googles hat mehr als ein Geschmäckle, weil am Ende des Tages die Kunden leidtragend sind. Android Kunden und (!) nun auch Microsoft Kunden.
Denke nicht, dass das sinnvoll ist.
Solange Microsoft für sein BS Geld verlangt, verlange ich als Kunde größtmöglichen Schutz, und zwar halbwegs unverzüglich. Wenn mir jemand ein BS schenkt, kann ich nichts verlangen. Natürlich tut Google das nicht aus reiner Nächstenliebe, aber das ist ein anderes Thema. An MS kommt man, zumindest im Geschäftsumfeld, nicht vorbei und da wird viel Geld bezahlt. Wer dieses Geschäftsmodell pflegt, muß sich nicht wundern, wenn andere das mal anzählen…
Nur nebenbei – ich versuche auch Google wo es geht zu vermeiden!
Microsoft sollte genau das tun und Beispielcode veröffentlichen. Das wäre nur gut für uns Konsumenten. Wenn das dann alle Firmen non stop tun, sieht man erst wie sicher/ unsicher etwas ist und die Firmen wären gezwungen zeitnah zu patchen.
Sie sagen sich: „schauste mal, macht keiner was – wir auch nicht. Alles gut.“