Linus Torvalds: Sicherheitsprobleme müssen offengelegt werden

Linus Torvalds hat sich auf einer Linux-Konferenz in Australien für die Veröffentlichung von Sicherheitslücken ausgesprochen. Sicherheit an sich sei weiterhin ein großes Problem – dass mehr Lücken offengelegt würden, bezeichnete er hingegen als befriedigend.

„Ich bin ein großer Verfechter der Offenlegung“, sagte Torvalds. Es gebe zwar Leute, die schon seit Jahrzehnten argumentierten, niemand wolle über Sicherheitsprobleme sprechen, da das nur den „bösen Hackern“ helfe. „Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden.“

„Der Zeitrahmen für die Kernel Security List ist zugegebenermaßen fünf Arbeitstage, was einige Leute für ein wenig extrem halten. Bei anderen Projekten ist es vielleicht ein Monat oder mehrere Monate, aber das ist immer noch besser als Jahre über Jahre des Stillschweigens, was wir bisher hatten“, so Torvalds weiter.

Torvalds mischt sich mit seinen Kommentaren zumindest indirekt in einen Streit zwischen Google und Microsoft über die verantwortungsvolle Offenlegung von Sicherheitslücken ein. Der Internetkonzern hatte zuletzt Details zu drei Windows-Schwachstellen veröffentlicht, für die Microsoft noch keine Patches bereitgestellt hatte. Google hatte die Anfälligkeiten im Rahmen seines Project Zero selbst entdeckt und sie nach einer selbst gesetzten Sperrfrist von 90 Tagen publik gemacht. In mindestens zwei Fällen hatte Microsoft Google um eine Fristverlängerung gebeten, da es einen Fix in der vorgegebenen Zeit nicht bereitstellen konnte. Die Bekanntmachung einer Lücke zwei Tage vor Microsofts Patchday sorgte schließlich für Streit zwischen den beiden Unternehmen.

„Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‘Erwischt’ an“, schrieb Chris Betz, Senior Director des Microsoft Security Response Center, vor einer Woche in einem Blogeintrag. Die Leidtragenden seien nun die Kunden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“

Die Offenlegung aller Details einer Schwachstelle ist jedoch auch in Sicherheitskreisen umstritten. Der Sicherheitsexperte Graham Cluley hatte Google dafür zuletzt scharf kritisiert. „Wenn Google frustriert ist, dass Microsoft so lange für die Veröffentlichung eines Patches benötigt, dann sollte es sich mit seinen Bedenken an die Medien wenden und ihnen den Fehler zeigen – nicht aber Beispielcode veröffentlichen, den jeder ausnutzen kann“, schreibt Cluley in seinem Blog. Mit Hinblick auf Googles Entscheidung, den Support für WebView in Android 4.3 und früher einzustellen, ergänzte er: „Man stelle sich vor, Microsoft-Forscher gäben Google 90 Tage Zeit, um eine Anfälligkeit in WebView in Android 4.3 zu beseitigen, bevor sie Beispielcode für einen Exploit veröffentlichen. Ich frage mich, wie Google sich dann fühlen würde?“

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de