The day the Mythos died

„Heartbleed – why do you miss when my hacker kisses me?“ Diese aus aktuellem Anlass leicht modifizierte Frage aus einem berühmten Buddy-Holly-Song stellen sich seit gestern viele. Obwohl ja eigentlich etwas vorgefallen ist, was die Hohepriester der Holy Church of OpenSource jahrelang ebenso leidenschaftlich verneint haben haben, wie die Pastafari (die Anhänger des Glaubens an das fliegende Spaghettimonster) den Zusammenhang zwischen globaler Erwärmung und dem weltweiten Rückgang an Piratenpopulation verteidigt haben.

Klingt wirr? Ist es auch. Aufklärung folgt!

Also, nochmal zum Mitschreiben, was ist passiert?

  1. Seit wenigen Tagen schreckt unter dem Stichwort „Heartbleed“ ein Bug in der weitverbreiteten OpenSource-Bibliothek OpenSSL die IT-Sicherheitswelt auf.
  2. Der Bug steckt seit zwei Jahren im Sourcecode.
  3. Die OpenSource-Community hat’s nicht gemerkt.

Letzteres erschüttert den Glaubensgrundsatz „OpenSource ist das Einzige, dem man vertrauen kann und kommerzielle Software ist des Teufels!“.  Diese Überzeugung haben manche viele die meisten eigentlich alle, die sich in diversen hitzigen Internet-Diskussionsforen, in denen man seinen wahren Namen nicht angeben muss, jahrelang geäußert. Wagte man es, eine davon abweichende Meinung zu vertreten, zum Beispiel mit dem Hinweis, dass es ja letztlich doch nur auf Vertrauen ankäme – Vertrauen in die Community vs. Vertrauen in den professionellen Hersteller – wurde einem mit Exkommunikation gedroht. Manch ungläubiger Thomas legte jedoch sogar noch einmal nach und stellte die ketzerischste aller Behauptungen auf: dass er nicht glaube, dass die Community sich wirklich ständig durch tausende Codezeilen durchwühle und alle Fehler finde. In solchen Fällen wurde gleich die Inquisition mit dem Errichten eines digitalen Scheiterhaufens (a.k.a. Shitstorm) beauftragt. Und nun Heartbleed. Der Mythos von der von Sicherheitslücken unbefleckten Empfängnis von OpenSource-Software pulverisiert. Die Erkenntnis, dass der Mensch fehlbar ist, auch wenn er Linux beherrscht.

Soll ich Ihnen was sagen? Dem allgemeinen Umgang mit IT-Sicherheit kann das nur gut tun!

Now shitstorm me! Amen!

P.S. Software der fideAS-Produktlinie von apsec ist übrigens von dem Bug nicht betroffen.

(Visited 688 times, 1 visits today)


Ein Kommentar

  • Anonym

    OpenSource Produkte werden jedenfalls öfters geprüft als vom Hersteller. Der im Zweifel lieber nichts sagt und die Anwender im Argen lässt und Gefahren aussetzt.

    Wenn man ihnen jetzt zum Beispiel nicht vertrauen will, hat man keine Möglichkeit ihre Aussage nachzuprüfen, ob sie wirklich nicht (mehr?) betroffen sind.

    Und mir sind in der Praxis schon viele kommerzielle (auch Windows-)Produkte untergekommen die OpenSSL „einfach mal“ reinkompilieren/verwenden und das nicht wirklich pflegen.

Neuer Kommentar