Gemeinsame Erklärung zur Sicherheit von GNU/Linux
4. April 2004
Kurzfassung
Die GNU/Linux-Anbieter Debian, Mandrake, Red Hat und SUSE haben
sich zusammengeschlossen, um eine gemeinsame Erklärung zum
Forrester-Bericht mit dem Titel Is Linux more secure than Windows?
(Ist Linux sicherer als Windows?
) abzugeben. Entgegen der
Behauptung des Berichts, eine qualitative Beurteilung der Reaktionen
der Anbieter auf schwerwiegende Verwundbarkeiten zu bieten, behandelt
er alle Verwundbarkeiten gleich, unabhängig von ihrem Risiko für
die Benutzer. Daher sind die Schlussfolgerungen, die
durch Forrester gezogen werden, von nur geringem praktischen Wert für
Kunden, die einschätzen wollen, wie schnell schwerwiegende
Verwundbarkeiten behoben werden.
Vollständige Erklärung
Die Sicherheitsteams der GNU/Linux-Distributoren Debian, Mandrakesoft,
Red Hat und SUSE haben Forrester dabei geholfen, Daten über
Verwundbarkeiten in ihren Produkten zusammenzustellen und zu korrigieren.
Die gesammelten Daten wurden durch Forrester zur Erstellung eines Berichts
mit dem Titel Is Linux more secure than Windows?
(Ist Linux sicherer
als Windows?
) benutzt. Während die Daten über Verwundbarkeiten in
Verbindung mit GNU/Linux, die die Basis des Berichts darstellen, als
hinreichend genau und sinnvoll angesehen werden, sind Debian, Mandrakesoft,
Red Hat und SUSE, von nun an mit wir
bezeichnet, besorgt über die
Korrektheit der Schlussfolgerungen, die im Bericht gezogen werden.
Wir glauben, dass es im Interesse unserer Benutzer und der Freien-Software-Gemeinschaft ist, auf den Forrester-Bericht in Form einer gemeinsamen Erklärung zu antworten:
Wir wurden von Forrester im Februar 2004 darauf angesprochen, ihnen zu helfen, ihre Rohdaten zu verfeinern. Forrester sammelte Daten über die Verwundbarkeiten, von denen GNU/Linux im Zeitraum eines Jahres (Juni 2002 - Mai 2003) betroffen war, und untersuchte, wie viele Tage es gedauert hatte, bis wir unseren Benutzern eine Ausbesserung anbieten konnten. Erhebliche Anstrengungen wurden darauf verwendet, sicher zu stellen, dass nicht nur die zugrunde liegenden Daten über die Verwundbarkeiten korrekt waren, sondern auch darauf, den speziellen technischen und organisatorischen Aufwand zu beschreiben, der im Bereich der professionellen Sicherheitsbehandlung für Freie Software betrieben wird. Diese Kompetenz wird von unseren Benutzern sehr geschätzt, da sie einen zusätzlichen Wert unserer Produkte darstellt. Wir müssen jedoch feststellen, dass der größte Teil dieses Wertes in den Methoden, die zur Analyse der Verwundbarkeitsdaten verwendet wurden, ignoriert wurde, was zu fehlerhaften Schlussfolgerungen führte.
Unsere Sicherheitsteams und angesehene, auf Sicherheit spezialisierte Organisationen (wie CERT/DHS, BSI, NIST, NISCC) tauschen Informationen über Verwundbarkeiten aus und kooperieren bei ihrer Beurteilung und Behebung. Jede Verwundbarkeit wird individuell untersucht und beurteilt; die Schwere der Verwundbarkeit wird von jedem der einzelnen Teams basierend sowohl auf dem Risiko und den Auswirkungen wie auch anderen, meist technischen Eigenschaften der Verwundbarkeit und der betroffenen Software festgestellt. Diese Schwere wird dann benutzt, um die Priorität, mit der an einer Behebung der Verwundbarkeit gearbeitet wird, gegenüber anderen ausstehenden Verwundbarkeiten festzulegen. Unsere Benutzer werden wissen, dass wir auf kritische Fehler innerhalb von Stunden reagieren können. Diese Gewichtung bedeutet, dass weniger schwerwiegende Fälle oft zugunsten ernsterer Fehler zurückgestellt werden.
Trotz gegenteiliger Behauptung macht der Forrester-Bericht diese
Unterscheidung nicht, wenn er die Zeit misst, die zwischen der
Veröffentlichung einer Sicherheitslücke und der Verfügbarkeit einer
Korrektur durch den Anbieter vergangen ist. Für jeden Anbieter gibt
der Bericht nur einen einfachen Durchschnitt an, die Risikotage für
Alles/die Distribution
, der ein wenig aussagekräftiges Bild von
der Wirklichkeit wiedergibt, wie sie unsere Benutzer erleben. Der
Durchschnitt bewertet fälschlicherweise alle Verwundbarkeiten als
gleichwertig, unabhängig vom Risiko, das von ihnen ausgeht. Nicht
alle Verwundbarkeiten haben vergleichbare Auswirkungen auf alle
Benutzer. In der Studie wurde der Versuch unternommen, eine Schwere der
Verwundbarkeiten basierend auf Daten einer anderen Quelle festzulegen,
die Klassifizierung der schwerwiegenden
(high-severity
)
Verwundbarkeiten ist jedoch nicht ausreichend: Die einfache
Veröffentlichung einer Verwundbarkeit durch eine bestimmte
Sicherheitsorganisation macht die Verwundbarkeit noch nicht
schwerwiegend – ebenso ist die Tatsache, ob eine Sicherheitslücke
über das Netzwerk (remote
) ausnutzbar ist, oft irrelevant für die
Schwere der Verwundbarkeit.
Wir glauben, dass der Bericht Anbieter Freier Software und den einzelnen Closed-Source-Anbieter nicht gleich behandelt. Freie Software ist bekannt für ihre Vielfalt und die Freiheit der Wahl im Rahmen der Standards, die sie definiert. Typischerweise werden mehrere Implementierungen dieser Standards sowohl für Desktop-, als auch für Server-Nutzung angeboten, was den Benutzern die Freiheit gibt, Software aufgrund ihrer eigenen Kriterien an Stelle derer des Anbieters auszuwählen. Die Offenheit, Transparenz und Verfolgbarkeit des Quellcodes ist ein zusätzlicher Wert zu der größeren Vielfalt der verfügbaren Software-Pakete. Die Behauptung schließlich, dass ein Software-Anbieter 100 % seiner Fehler im Zeitraum des Berichts behoben hat, sollte Anreiz genug sein, die Schlussfolgerungen des Berichts genauer unter die Lupe zu nehmen.
unterzeichnet,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE
Zusätzliche Informationen:
Javier Fernández-Sanguino Peña führte im Jahre 2001 eine Untersuchung durch und stellte fest, dass das Debian Sicherheitsteam im Durchschnitt 35 Tage gebraucht hat, um Verwundbarkeiten zu beheben, die auf der Bugtraq-Liste veröffentlicht wurden. Über 50 % der Verwundbarkeiten wurden jedoch innerhalb der ersten 10 Tage behoben und über 15 % sogar am gleichen Tag! Für diese Analyse wurden jedoch alle Verwundbarkeiten gleich behandelt.
Er hat die Untersuchung basierend auf den Verwundbarkeiten, die zwischen dem 1. Juni 2002 und dem 31. Mai 2003 entdeckt wurden, wiederholt und stellte fest, dass der Median des Zeitraums zwischen der Veröffentlichung einer Verwundbarkeit und der Veröffentlichung eines Sicherheitshinweises inklusive einiger Korrekturen 13,5 Tage betrug (der Durchschnitt waren 31,10 Tage). Auch für diese Analyse wurden keine verschiedenen Prioritäten der Verwundbarkeiten berücksichtigt.