In Ergänzung zu meinem Beitrag über Sicherheitslücken in Linux, insbesondere zur aktuellen Lücke im Kommandoprozessor bash, die unter den Namen Shellshock in den Medien geführt wird, möchte ich einen noch deutlicheren Vergleich des Umgangs mit solchen Problemen im Bereich der freien und quelloffenen Software auf der einen Seite und dem der proprietären, geschlossenen Software (Microsoft, Apple) auf der anderen Seite anstellen.
Die ursprüngliche Lücke in bash wurde schnell, aber unvollkommen geschlossen. Eine bessere Lösung wurde kurz darauf präsentiert und verteilt. Und das Vorkommnis wurde dazu genutzt, den Code der bash, der frei verfügbar ist und von jedem verändert werden darf, einer genauen Untersuchung zu unterziehen. Dabei wurden weitere Fehler gefunden und beseitigt, und die neuen Änderungen fließen nun zurück an die Distributionen von Linux, die die bash einsetzen, um an die im Einsatz befindlichen Systeme als Updates weitergeleitet zu werden.
Diese Verbesserungen stehen auch Apple zur Verfügung, doch bisher wurde lediglich zugegeben, dass das Problem auch für OS X existiert, dort aber nur wenig Angriffsfläche gegeben sei – was gegenüber einem Serversystem auch stimmt, und OS X ist eher selten im Serverbereich zu finden. Dennoch bleibt Apple den Patch weiter schuldig. Die Mühlen der proprietären Software mahlen eben wesentlich langsamer.
Update: Heute, 30.09.2014, ist ein Patch auch für Apples OS X endlich verfügbar.
Wie langsam, das zeigt auch die derzeitige Welle von veröffentlichten und aus der Apple Cloud gestohlenen Nacktbilder diverser Hollywood-Schauspielerinnen. Keine Frage, wer solche Bilder in der Cloud speichert, geht ein Risiko ein, und wer einfache, ratbare Passwörter zum Schutz solcher Daten benutzt, handelt fahrlässig. Aber geraten werden solche Passwörter in der Regel mittels Programmen, die Brute Force-Attacken durchführen, das heißt, sie probieren einfach Millionen von möglichen Passwörtern in kürzester Zeit durch. Das funktioniert nur dann, wenn das Ziel nicht nach einigen wenigen Fehlschlägen die Schotten dicht macht. Und genau das ist bei einer Sicherheitslücke in der iCloud-Software der Fall, und dieses Problem ist schon seit März bekannt.
Es ist zwar nicht sicher, ob diese Lücke wirklich genutzt wurde, um die Fotos zu entwenden. Aber sicher ist, dass die Hersteller proprietärer Software in aller Regel erst dann den nötigen Aufwand zur Lösung eines Sicherheitsproblems in Angriff nehmen, wenn das Kind bereits in den Brunnen gefallen ist.
Keine Software ist absolut sicher. Aber proprietäre Software ist das größere Risiko.
