Start Empfohlen Eine Geschichte von zwei Fehlern

Eine Geschichte von zwei Fehlern

20
0


Herzblut-EPKürzlich wurden wir von Heartbleed begrüßt, einem Fehler in Software, die von Websites zum Verschlüsseln von Daten verwendet wird. Jetzt gibt es einen Fehler im Internet Explorer (IE), der es einer bösartigen Website ermöglicht, jedes gewünschte Programm auf Ihrem Computer auszuführen. Man kann darüber diskutieren, was ernster ist, aber beides kann verheerend sein. Angesichts der Risiken durch den IE-Bug empfahl das Department of Homeland Security (DHS), diesen Browser nicht zu verwenden, bis er gepatcht ist. Es gibt jedoch ein ernstes Problem mit diesem Hinweis: Windows XP ist anfällig für die IE-Sicherheitslücke und Microsoft hat den Support für diese Betriebssystemversion Anfang dieses Monats eingestellt.

Da sich der Heartbleed-Code in einer Open-Source-Komponente befand (d. h. einer Software, deren Quellcode offen verfügbar ist), konzentrierten sich viele Diskussionen darauf, ob die Verbreitung von sicherheitsrelevantem Code als Open Source das Risiko eines solchen erhöht oder verringert Fehler. Das ist in der Tat eine interessante Debatte. Ich bin zufällig auf der Seite, das Risiko zu verringern, aber die DHS-Empfehlung offenbart ein völlig anderes Sicherheitsproblem bei der Verwendung von Programmen, die nicht Open Source sind.

Für Heartbleed wurde die Korrektur des Quellcodes sofort nach Entdeckung der Schwachstelle öffentlich zugänglich gemacht, sodass jeder mit den erforderlichen Fähigkeiten den Fehler im eigenen System selbst beheben konnte. Noch wichtiger war, dass sie auch Patches an Personen verteilen konnten, die nicht über diese Fähigkeiten verfügten. Als Ergebnis wurden wichtige Sites fast sofort repariert und fast jeder konnte seine Systeme innerhalb einer Woche aktualisieren.

In der aktuellen Situation mit dem Internet Explorer ist die Software stark proprietär. Obwohl die Reparatur wahrscheinlich sehr einfach ist (die meisten davon sind), hat nur Microsoft den notwendigen Zugriff auf den Quellcode. Egal wie geschickt eine Person sein mag, sie wird den Mangel nicht beheben können.

Das bedeutet, dass jeder dem Zeitplan von Microsoft ausgeliefert ist, was dazu führt, dass Fragen gestellt werden:

Würde Microsoft sofort einen Patch herausgeben oder bis zum „Patch Tuesday“ warten?

Und was würde mit XP-Benutzern passieren, die immer noch einen erheblichen Teil der Windows-Bevölkerung ausmachen?

Bis letzten Donnerstag wusste niemand außer Microsoft die Antworten auf diese Fragen und alles, was jeder von uns tun konnte, war abzuwarten und zu sehen, was es tun würde oder nicht – das komplette Gegenteil der Situation bei Heartbleed. Dies ist nicht als Kritik an Microsoft gemeint, sondern als „Fakt des Lebens“ für proprietäre Software.

Zweifellos wird die Debatte über die Vorzüge von Open Source gegenüber proprietärer Software, insbesondere im Hinblick auf die Vermeidung von Fehlern und Sicherheitslücken, auf unbestimmte Zeit andauern. Aber Prävention ist nicht die ganze Geschichte. Schnelle Reaktion und Korrektur sind entscheidend, wenn Probleme erkannt werden, und die Heartbleed-Erfahrung veranschaulicht einen wichtigen Vorteil des Open Source-Ansatzes. Tatsächlich war es genau dieser Vorteil, der Richard Stallman vor fast dreißig Jahren dazu inspirierte, die Free Software Foundation zu gründen. Er wählte den Begriff „Freie Software“ statt „Open Source“ gezielt, weil er die Freiheit der Menschen betont, ihr eigenes Schicksal in Bezug auf Software zu bestimmen. Im politischen Bereich kollidieren Freiheit und Sicherheit oft, im Softwarebereich sind sie jedoch sehr gut vereinbar.

RichardRichard Kenner ist Mitbegründer und Vizepräsident von AdaCore. Von 1975 bis 1998 war er Forscher am Computer Science Department der New York University. Während dieser Zeit arbeitete er am SETL-Projekt, einem Forschungsprojekt in höheren Programmiersprachen, dem PUMA-Projekt, das einen Emulator für die CDC 6600 in den späten 1970er Jahren und viele Jahre lang mit dem Ultracomputer Project, das an hochparallelen Computersystemen forschte. Bei Ultra arbeitete er an Hardware-Design, VLSI-Design und Compilern. Als Teil der letzteren Arbeit war er der Betreuer des GCC-Compilers (auf dem die GNAT-Technologie basiert) für die Free Software Foundation für die Releases 2.5.x bis 2.8.x. Er veröffentlichte sowohl Arbeiten zum Compiler-Design als auch zum VLSI-Design eines Switching-Netzwerks für Ultra und war der Designer der Schnittstelle zwischen dem GNAT-Frontend und GCC.



Vorheriger ArtikelMalwarebytes Anti-Malware Premium 2 [Review]
Nächster ArtikelSicherheit gefährdet, da Unternehmen Schwierigkeiten haben, komplexe Netzwerke zu überwachen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein