Neueste Nachrichten / Nachrichten 2004 / Nachrichten -- Gemeinsame Erklärung zur Sicherheit von GNU/Linux

Gemeinsame Erklärung zur Sicherheit von GNU/Linux

4. April 2004

Kurzfassung

Die GNU/Linux-Anbieter Debian, Mandrake, Red Hat und SUSE haben sich zusammengeschlossen, um eine gemeinsame Erklärung zum Forrester-Bericht mit dem Titel Is Linux more secure than Windows? (Ist Linux sicherer als Windows?) abzugeben. Entgegen der Behauptung des Berichts, eine qualitative Beurteilung der Reaktionen der Anbieter auf schwerwiegende Verwundbarkeiten zu bieten, behandelt er alle Verwundbarkeiten gleich, unabhängig von ihrem Risiko für die Benutzer. Daher sind die Schlussfolgerungen, die durch Forrester gezogen werden, von nur geringem praktischen Wert für Kunden, die einschätzen wollen, wie schnell schwerwiegende Verwundbarkeiten behoben werden.

Vollständige Erklärung

Die Sicherheitsteams der GNU/Linux-Distributoren Debian, Mandrakesoft, Red Hat und SUSE haben Forrester dabei geholfen, Daten über Verwundbarkeiten in ihren Produkten zusammenzustellen und zu korrigieren. Die gesammelten Daten wurden durch Forrester zur Erstellung eines Berichts mit dem Titel Is Linux more secure than Windows? (Ist Linux sicherer als Windows?) benutzt. Während die Daten über Verwundbarkeiten in Verbindung mit GNU/Linux, die die Basis des Berichts darstellen, als hinreichend genau und sinnvoll angesehen werden, sind Debian, Mandrakesoft, Red Hat und SUSE, von nun an mit wir bezeichnet, besorgt über die Korrektheit der Schlussfolgerungen, die im Bericht gezogen werden.

Wir glauben, dass es im Interesse unserer Benutzer und der Freien-Software-Gemeinschaft ist, auf den Forrester-Bericht in Form einer gemeinsamen Erklärung zu antworten:

Wir wurden von Forrester im Februar 2004 darauf angesprochen, ihnen zu helfen, ihre Rohdaten zu verfeinern. Forrester sammelte Daten über die Verwundbarkeiten, von denen GNU/Linux im Zeitraum eines Jahres (Juni 2002 - Mai 2003) betroffen war, und untersuchte, wie viele Tage es gedauert hatte, bis wir unseren Benutzern eine Ausbesserung anbieten konnten. Erhebliche Anstrengungen wurden darauf verwendet, sicher zu stellen, dass nicht nur die zugrunde liegenden Daten über die Verwundbarkeiten korrekt waren, sondern auch darauf, den speziellen technischen und organisatorischen Aufwand zu beschreiben, der im Bereich der professionellen Sicherheitsbehandlung für Freie Software betrieben wird. Diese Kompetenz wird von unseren Benutzern sehr geschätzt, da sie einen zusätzlichen Wert unserer Produkte darstellt. Wir müssen jedoch feststellen, dass der größte Teil dieses Wertes in den Methoden, die zur Analyse der Verwundbarkeitsdaten verwendet wurden, ignoriert wurde, was zu fehlerhaften Schlussfolgerungen führte.

Unsere Sicherheitsteams und angesehene, auf Sicherheit spezialisierte Organisationen (wie CERT/DHS, BSI, NIST, NISCC) tauschen Informationen über Verwundbarkeiten aus und kooperieren bei ihrer Beurteilung und Behebung. Jede Verwundbarkeit wird individuell untersucht und beurteilt; die Schwere der Verwundbarkeit wird von jedem der einzelnen Teams basierend sowohl auf dem Risiko und den Auswirkungen wie auch anderen, meist technischen Eigenschaften der Verwundbarkeit und der betroffenen Software festgestellt. Diese Schwere wird dann benutzt, um die Priorität, mit der an einer Behebung der Verwundbarkeit gearbeitet wird, gegenüber anderen ausstehenden Verwundbarkeiten festzulegen. Unsere Benutzer werden wissen, dass wir auf kritische Fehler innerhalb von Stunden reagieren können. Diese Gewichtung bedeutet, dass weniger schwerwiegende Fälle oft zugunsten ernsterer Fehler zurückgestellt werden.

Trotz gegenteiliger Behauptung macht der Forrester-Bericht diese Unterscheidung nicht, wenn er die Zeit misst, die zwischen der Veröffentlichung einer Sicherheitslücke und der Verfügbarkeit einer Korrektur durch den Anbieter vergangen ist. Für jeden Anbieter gibt der Bericht nur einen einfachen Durchschnitt an, die Risikotage für Alles/die Distribution, der ein wenig aussagekräftiges Bild von der Wirklichkeit wiedergibt, wie sie unsere Benutzer erleben. Der Durchschnitt bewertet fälschlicherweise alle Verwundbarkeiten als gleichwertig, unabhängig vom Risiko, das von ihnen ausgeht. Nicht alle Verwundbarkeiten haben vergleichbare Auswirkungen auf alle Benutzer. In der Studie wurde der Versuch unternommen, eine Schwere der Verwundbarkeiten basierend auf Daten einer anderen Quelle festzulegen, die Klassifizierung der schwerwiegenden (high-severity) Verwundbarkeiten ist jedoch nicht ausreichend: Die einfache Veröffentlichung einer Verwundbarkeit durch eine bestimmte Sicherheitsorganisation macht die Verwundbarkeit noch nicht schwerwiegend – ebenso ist die Tatsache, ob eine Sicherheitslücke über das Netzwerk (remote) ausnutzbar ist, oft irrelevant für die Schwere der Verwundbarkeit.

Wir glauben, dass der Bericht Anbieter Freier Software und den einzelnen Closed-Source-Anbieter nicht gleich behandelt. Freie Software ist bekannt für ihre Vielfalt und die Freiheit der Wahl im Rahmen der Standards, die sie definiert. Typischerweise werden mehrere Implementierungen dieser Standards sowohl für Desktop-, als auch für Server-Nutzung angeboten, was den Benutzern die Freiheit gibt, Software aufgrund ihrer eigenen Kriterien an Stelle derer des Anbieters auszuwählen. Die Offenheit, Transparenz und Verfolgbarkeit des Quellcodes ist ein zusätzlicher Wert zu der größeren Vielfalt der verfügbaren Software-Pakete. Die Behauptung schließlich, dass ein Software-Anbieter 100 % seiner Fehler im Zeitraum des Berichts behoben hat, sollte Anreiz genug sein, die Schlussfolgerungen des Berichts genauer unter die Lupe zu nehmen.

unterzeichnet,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

Zusätzliche Informationen:

Javier Fernández-Sanguino Peña führte im Jahre 2001 eine Untersuchung durch und stellte fest, dass das Debian Sicherheitsteam im Durchschnitt 35 Tage gebraucht hat, um Verwundbarkeiten zu beheben, die auf der Bugtraq-Liste veröffentlicht wurden. Über 50 % der Verwundbarkeiten wurden jedoch innerhalb der ersten 10 Tage behoben und über 15 % sogar am gleichen Tag! Für diese Analyse wurden jedoch alle Verwundbarkeiten gleich behandelt.

Er hat die Untersuchung basierend auf den Verwundbarkeiten, die zwischen dem 1. Juni 2002 und dem 31. Mai 2003 entdeckt wurden, wiederholt und stellte fest, dass der Median des Zeitraums zwischen der Veröffentlichung einer Verwundbarkeit und der Veröffentlichung eines Sicherheitshinweises inklusive einiger Korrekturen 13,5 Tage betrug (der Durchschnitt waren 31,10 Tage). Auch für diese Analyse wurden keine verschiedenen Prioritäten der Verwundbarkeiten berücksichtigt.