Die Woche: Gefahren beseitigen, nicht ignorieren!

Durch seine Schnellstart-Funktion fährt Windows 8 beim Ausschalten nicht wirklich herunter, sondern steuert einen speziellen Ruhezustand an; nach dem Wiedereinschalten arbeitet es daher mit veralteten Dateisysteminformationen weiter, wenn zwischenzeitlich ein anderes Betriebssystem auf eine der Windows-Partitionen geschrieben hat. Das kann leicht zu Datenverlust oder Dateisystemschäden führen, wie wir kürzlich gezeigt haben.

Man macht es sich jedoch zu leicht, wenn man den schwarzen Peter allein Microsoft zuschiebt. Denn tatsächlich sind es mehrere Parteien, die unklug handeln und so Daten in Gefahr bringen – und das teilweise schon seit Jahren, denn durch den Schnellstart von Windows 8 tritt ein prinzipbedingtes Problem von Suspend-to-Disk (Ruhezustand/Hibernate) nun häufiger zu Tage.

Ntfs-3G- und Distributions-Entwickler

Um mit der guten Nachricht anzufangen: Die Programmierer des bei allen Mainstream-Distributionen eingesetzten Fuse-NTFS-Treibers Ntfs-3G haben erst mal alles richtig gemacht und die Implikationen der Schnellstart-Funktion bereits im September erkannt – also noch vor dem Erscheinen von Windows 8. Daraufhin haben sie den Code im Entwicklerzweig angepasst, damit der Treiber warnt und NTFS-Partitionen allenfalls schreibgeschützt einbindet, wenn ein Windows mit aktivem Schnellstart diese nutzt (1, 2). Einer der Entwickler hat sogar das Fedora-Projekt auf die Gefahr hingewiesen und es auf seiner Homepage beschrieben.

Aber auch jetzt, drei Monate später, weist die Homepage des Ntfs-3G-Projekts immer noch nicht deutlich auf die Problematik hin. Zudem haben die Ntfs-3G-Entwickler bislang keine neue Version veröffentlicht, die den im Entwicklerzweig längst implementierten Schutz enthält. Alle Anwender, die in den letzten Wochen die Treiber von der Ntfs-3G-Homepage heruntergeladen haben, wären sonst vor der lauernden Gefahr schon besser geschützt.

Auch die meisten Entwickler, die die Ntfs-3G-Treiber bei den Linux-Distributionen betreuen, haben bislang nicht reagiert; Debian, OpenSuse und Ubuntu halten den Anwender daher noch nicht vom Einbinden einer NTFS-Datenpartition ab, die ein nur vermeintlich ausgeschaltetes Windows nutzt. Hoffentlich haben die Paket-Betreuer der Distributionen die Treiber besser im Blick, wenn es um Sicherheitskorrekturen geht, damit wenigstens solche zügiger zu Anwendern gelangen.

Betriebssystemhersteller

Noch trauriger an der ganzen Situation ist allerdings: Es ist ein alter Hut, dass Dateisystemschäden oder Datenverlust drohen, wenn ein Betriebssystem nach dem Aufwachen aus einem Suspend-to-Disk mit alten Dateisysteminformationen weiterarbeitet. Probleme kann es nämlich auch geben, wenn man eine installierte Linux-Distribution mittels Suspend-to-Disk schlafen legt und mit einem anderen Linux auf eine der vom installierten Linux verwendeten Partitionen schreibt, bevor man dieses fortsetzt. Schuld ist ein prinzipbedingtes Problem von Suspend-to-Disk: Ein Betriebssystem kann vor dem Wechsel in den Schlafzustand nicht einfach alle Partitionen aushängen, weil System- oder Anwendungssoftware typischerweise Dateien zum Schreiben offen halten. Das ist allerdings längst nicht jedem Anwender bewusst, der den Ruhezustand statt eines vollständigen Shutdowns nutzt, um das System schneller starten zu können.

Der Gefahr von Datenverlust und Dateisystemschäden versuchen die Betriebssystemhersteller daher mit Tricks entgegenzuwirken. Der Boot-Manager von Windows 8 etwa fährt ein Schnellstart-Windows erst voll herunter, bevor er ein anderes Betriebssystem startet; in manchen Fedora-Versionen ließ Grub die Auswahl andere Systeme nicht zu, wenn das Fedora im Suspend-to-Disk schlief. Das Vorschalten eines anderen Boot-Managers oder den Start eines Betriebssystems via CD oder USB-Stick hebelt diese Schutzansätze allerdings aus – auch das weiß aber nicht jeder Anwender.

Die Linux-Entwickler nutzen noch eine Reihe anderer Tricks, um Probleme zu vermeiden; das reduziert die Gefahr, schafft das prinzipbedingte Problem aber nicht aus der Welt. Die Gefahr lässt sich nur auf einem Weg zuverlässig vermeiden: Wenn ein Betriebssystem in den Suspend-to-Disk wechselt, muss es die verwendeten Dateisysteme kennzeichnen – etwa durch ein Flag in den Metadaten oder eine klassische Lockdatei. Dann könnten alle Betriebssystem den Umstand zuverlässig erkennen und das Schreiben auf solche Partitionen vermeiden, so wie es der Ntfs-3G-Treiber macht.

Dazu hätten sich Microsoft, Linux-Distributoren und andere Betriebssystem-Hersteller noch nicht einmal zusammensetzen müssen; es hätte gereicht, wenn jeder bei den eigenen Dateisystemen eine entsprechende Kennzeichnung spezifiziert und bekannt gibt. Bei den meisten Dateisystemen gibt es bislang aber keine. Der Anwender ist so der Dumme: All jene, die ihr System einfach "nur benutzen", ohne sich mit der Materie auseinanderzusetzen, werden noch nicht einmal merken, warum Dateien oder das Dateisystem gelegentlich Schaden nehmen. (thl) (thl)