Diesen Cartoon, und eine Verarbeitung
dieses Dilbert-Comics im gleichen Stil findet man zur Zeit fast überall im Netz. Und
Lolcats gibt es natürlich auch.
Ein schlimmer Bug hat die Linux-Welt erschüttert. SSH-, OpenVPN- und andere X509-Schlüssel sind vorhersehbar, die Sicherheit dahin. Feiste Windows-User kringeln sich in ihren nassgeschwitzen T-Shirts vor Lachen, blöd grinsende Microsoft-Jünger zeigen mit nackten Wurstfingern auf eigentlich besser ausgestattete Betriebssysteme, spießige Neuinstallierer fühlen sich in ihrer oberflächlichen Halbmeinung dass "Sicherheitslücken ja überall drin sind", bestätigt.
Ich denke, der Spott ist unberechtigt. Ebenso wie das peinlich berührte Schweigen der Geeks und das
leise Wimmern der Blogs.
Sicher, das
OpenSSL-Debakel ist schon eine schlimme Sache. Doch es gibt durchaus etwas zu erwidern, z.B. meine
Fünfeinhalb Argumente, Trutz und Trost dem ratsuchenden Geek
• Erstens: Wenn ich ein Betriebssystem hätte, dessen Speicher sich
mittels eines Firewire-Kabels auslesen lässt, wäre ich schon mal ganz still.
• Zweitens: Der Fehler wurde
bemerkt, was bei proprietärer Software allem Anschein nach oft nicht geschieht. Hierzu müsste der Anwender das Produkt in extremem Maße testen. Wie viele vergleichbare Fehler in nicht quelloffenen Produkten stecken, ist nicht abzusehen.
• Zweieinhalbtens:
Security through obscurity ist
grober Unfug.
• Drittens: Als der Fehler bemerkt wurde, wurde er
schnell behoben, und alle wurden schnellstmöglich in die Lage versetzt, ihre Systeme mit neuen Paketen der Distribution zu prüfen und zu sichern. Sie mussten nicht auf den nächsten Update-Termin warten, sie mussten nicht mit neuen Fehlern durch irgendeinen halbgaren Patch rechnen.
Schon kurz nach Bekanntwerden gab es bei Metasploit
eine Informationsseite mit Tools zum
Ausnutzen Auffinden anfälliger Schlüssel.
• Viertens: Da
OpenSSL eben ein OpenSource-Projekt ist, konnten alle Administratoren und Anwender den Fehler auch
sofort selbst beheben — durch Kompilieren des Original-Quellcodes.
• Fünftens: Die
Vielfältigkeit der
Unix-artigen Betriebssysteme hat den Fehler auf eine Linux-Distribution (Debian) und das abgeleitete Ubuntu
beschränkt. Weder Gentoo noch FreeBSD, weder Solaris noch Fedora, noch Mandriva oder openSUSE waren betroffen. (Im Gegensatz dazu scheinen manche Windows-Bugs ja erstaunlich "abwärtskompatibel" zu sein.)
Unter dem Strich muss man also feststellen, dass die OpenSource-Gemeinde selbst bei einer mittelschweren Katastrophe einen hohen Sicherheitsstandard gewährleistet. Eine beeindruckende Leistung.
Übrigens: In
den Kommentaren zu einem Blogeintrag bei Bruce Schneier steht das Gerücht, es habe einen ähnlichen Fehler vor langer Zeit schon mal gegeben:
There was a real-life case kind of like the xkcd cartoon. I believe it was Netscape that generated SSL keys based on the time of day. Problem was, only a few of the theoretically possible keys could actually be generated that way.
Mit dem Zufall ist das halt so eine Sache.
Aber gewimmert habe ich ja nu wirklich nicht. ;)
Gruß, Torsten