Linus Torvalds befürwortet Offenlegung von Sicherheitsproblemen

Auf einer Linux-Konferenz in Australien hat Linus Torvalds Stellung zur Veröffentlichung von Sicherheitslücken bezogen. An sich sei Sicherheit weiterhin ein großes Problem, aber er bezeichnete die Offenlegung von mehr Lücken als befriedigend.

“Ich bin ein großer Verfechter der Offenlegung”, sagte Torvalds. Allerdings gebe es bereits seit Jahrzehnten Leute, die nicht über Sicherheitsprobleme sprechen wollten, da das nur den “bösen Hackern” helfe. “Tatsache ist, dass ich absolut davon überzeugt bin, dass man sie melden muss, und man muss sie in einem angemessenen Zeitrahmen melden.”

“Der Zeitrahmen für die Kernel Security List ist zugegebenermaßen fünf Arbeitstage, was einige Leute für ein wenig extrem halten. Bei anderen Projekten ist es vielleicht ein Monat oder mehrere Monate, aber das ist immer noch besser als Jahre über Jahre des Stillschweigens, was wir bisher hatten”, so Torvalds weiter.

Streit zwischen Google und Microsoft

Indirekt beteiligt sich Torvalds mit seinen Kommentaren an einem Streit zwischen Google und Microsoft über die verantwortungsvolle Offenlegung von Sicherheitslücken. Der Suchmaschinenkonzern hatte vor kurzem Einzelheiten zu drei Windows-Schwachstellen öffentlich gemacht, für die Microsoft noch keine Patches entwickelt hatte.

Im Rahmen des Project Zero hatte Google die Sicherheitslücken selbst aufgespürt und sie nach einer selbst gesetzten Sperrfrist von 90 Tagen veröffentlicht. Microsoft hatte den Konzern in mindestens zwei Fällen gebeten, die Frist zu verlängern, da es einen Fix nicht in der vorgegebenen Zeit bereitstellen konnte. Die Bekanntmachung einer Lücke zwei Tage vor Microsofts Patchday sorgte schließlich für Streit zwischen den beiden Unternehmen.

“Obwohl sich Google an seinen angekündigten Zeitplan für die Offenlegung gehalten hat, fühlt sich die Entscheidung nicht nach Prinzipien an, sondern mehr wie ein ‘Erwischt’ an”, schrieb Chris Betz, Senior Director des Microsoft Security Response Center, vor einer Woche in einem Blog. Die Leidtragenden seien nun die Kunden. “Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.”

Auch bei Sicherheitsexperten umstritten

Auch in Sicherheitskreisen stößt die Veröffentlichung aller Details einer Schwachstelle auf Kritik. Der Sicherheitsexperte Graham Cluley hatte Google dafür zuletzt scharf kritisiert. “Wenn Google frustriert ist, dass Microsoft so lange für die Veröffentlichung eines Patches benötigt, dann sollte es sich mit seinen Bedenken an die Medien wenden und ihnen den Fehler zeigen – nicht aber Beispielcode veröffentlichen, den jeder ausnutzen kann”, schreibt Cluley in seinem Blog.

Mit Hinblick auf Googles Entscheidung, den Support für WebView in Android 4.3 und früher einzustellen, ergänzte er: “Man stelle sich vor, Microsoft-Forscher gäben Google 90 Tage Zeit, um eine Anfälligkeit in WebView in Android 4.3 zu beseitigen, bevor sie Beispielcode für einen Exploit veröffentlichen. Ich frage mich, wie Google sich dann fühlen würde?”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de