Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"
Der Ton auf der Kernel-Mailingliste ist mal wieder eskaliert. Linux-Chef Torvalds belegte Sicherheitsleute mit deftigen Schimpfwörtern, nachdem Google-Entwickler Kees Cook versucht hatte, Sicherheitspatches bei ihm einzureichen.
Linus Torvalds, Chef der Linux-Kernelentwicklung, ist berühmt-berüchtigt für emotionale Ausbrüche und seine manchmal sehr rauen Umgangsformen. In der Vergangenheit hatte er Nvidia wegen deren Grafiktreiber-Qualität öffentlich den Stinkefinger gezeigt und 2008 bezeichnete er die seiner Meinung nach zu Sicherheits-orientierten OpenBSD-Entwickler als eine Gruppe "masturbierender Affen".
Jetzt hat Torvalds auf der öffentlichen Entwickler-Mailingliste des Kernels manche Sicherheitsforscher als "verfickte Idioten" bezeichnet. Der Ärger entlud sich gegenüber Kees Cook, einem prominenten Mitglied des Pixel-Sicherheitsteams bei Google, der einen Patch mit Sicherheitsverbesserungen eingereicht hatte.
SicherheitslĂĽcken sind auch nur Bugs
Torvalds vertritt seit langem die Ansicht, dass Sicherheitslücken "auch nur Bugs sind". Forscher, die mit Patches daran arbeiten, den Kernel zu härten, müssen seiner Ansicht nach das oberste Ziel haben, die Schwachstellen, die zu Sicherheitslücken führen, zu schließen. Diese Schwachstellen seien Bugs und die Forscher müssten demnach den Entwicklern dabei helfen, die Lücken zu finden ("the patches you then introduce for things like hardening are primarly for DEBUGGING.") Der Ansatz, einfach alle Prozesse oder gar den Kernel selbst einfach abzuwürgen, wenn sie gefährliche Dinge tun, sei nicht tolerierbar. Das Ziel der Entwickler müsse es sein, den Kernel auf sichere Art am Laufen zu halten, nicht Programme abzuschießen und nachher zu fragen, was denn eigentlich passiert sei.
Obwohl Torvalds Ton, verständlicherweise, heftig kritisiert wird, pflichten einige bekannte Sicherheitsforscher seiner technischen Einschätzung bei. Allem voran Robert Graham von Errata Security, der in einem Blog-Eintrag Linus Einstellungen zu Patches erklärt. Seiner Meinung nach ist Torvalds Instinkt, kleine Sicherheitslücken nicht als große Katastrophen aufzubauschen und lieber ruhig und besonnen auf Ursachenforschung zu gehen, genau richtig.
Statt bei einem Pufferüberlauf (oft der Ausgangspunkt für die Ausführung von Schadcode) einfach den Prozess zu unterbrechen, sollte der Kernel nur eine Warnung in ein Logfile schreiben. Schließlich muss es sich bei dem Auslösen eines solchen Bugs ja nicht zwangsläufig um einen Angriff handeln. Anhand der Warnungen können die Entwickler dann die Fehler im Kernel stopfen. Erst wenn das passiert sei und die Entwickler von Drittsoftware Zeit hatten auf die Änderungen zu reagieren, könne man Prozesse, die einen solchen Pufferüberlauf auslösen, einfach abwürgen. Schließlich, meint Graham, kann ein aus Sicherheitsgründen erzeugter Kernelfehler eine größere Katastrophe auslösen als die eigentliche Sicherheitslücke, die so gestopft werden soll. Er wolle in seinem Linux-betriebenen Auto keine katastrophale Kernel Panic haben.
Finnischer Management-Stil
Torvalds ist der Meinung, dass viele Sicherheitsforscher sich nur auf Kosten der Entwickler profilieren wollen, anstatt mit anzupacken und die Schwachstellen zu schließen, die sie gefunden haben. Diese Leute seien die "verfickte Idioten", mit denen er nicht arbeiten wolle. Obwohl Graham die Sprachwahl des Kernel-Chefs nicht verteidigt, könne er verstehen, warum dieser so denke. "Sicherheitsleute sind oft scheinheilige Bastarde mit festgefahrenen Denkstrukturen", ergänzt Graham. Da Torvalds sich oft mit solchen Leuten herumschlagen müsse, verstehe er, dass dieser dann alle Sicherheitsforscher entsprechend behandele.
Torvalds "finnischer Management-Stil" und dessen Einfluss auf die Kernel-Entwicklung bei Linux ist schon seit langem ein Thema in der Tech-Gemeinde. Auch Kees Cook war in diese Diskussionen bereits vor Jahren verstrickt. Er scheint sich von Torvalds rauer Art in diesem Fall aber nicht abschrecken zu lassen. "Ich werde weitere Ă„nderungen machen und versuche es dann fĂĽr v4.16 noch mal", schreibt er in der Kernel-Mailingliste.
Korrektur: Grahams Beispiel zum Zusammenspiel zwischen Prozessen und Linux-Kernel präzisiert. (fab)