Gemeinschaft::Personen
Interview mit Theo de Raadt
Während der Konferenz der Australischen Unix User Group hat OpenBSD-Initiator Theo de Raadt ein Interview zum Thema Sicherheit gegeben.
Da OpenBSD hohe Maßstäbe an die Sicherheit stellt, befassen sich seine Entwickler ausgiebig mit dem Thema.
Theo de Raadt sieht in den meisten Sicherheitslücken Programmierfehler, die durch die fehlerhafte Anwendung von Funktionen entstehen. Nachfolgeprogrammierer lesen diesen Code und lernen automatisch die fehlerhaften Konstrukte, die sie für richtig halten. Auf diese Weise entstünden eine Vielzahl schwerer und kleiner Fehler, deren Gefahr vor allem in der Monotonie liege, da Angreifer immer mit ähnlichen Mitteln vorgehen können.
Das Übernehmen falscher Vorgehensweisen geschehe zudem sowohl auf der Seite freier als auch proprietärer Software, womit die Freiheit der Software keinen Einfluss auf die Sicherheit nehme, da es heutzutage ohnehin keine Closed Source Software sondern nur eingeschränkte Open Source Software gäbe. Auf beiden Seiten komme es letztlich auf die Fähigkeiten an. Defizite sieht er vor allem bei mangelhaften Sicherheitskontrollen und mangelnder Aufklärung. Seiner Meinung nach unternehmen Hersteller außerdem zu wenig, Angriffe zu vereiteln, indem der Eindringling auf unerwartete Zustände trifft, die die gefährliche Monotonie verhindert.
Weiterhin verdeutlicht er, dass die Sicherheit des Einzelnen auf der Sicherheit anderer beruht, da schon einzelne betroffene Systeme die Funktionsweise anderer gefährden, wie schlecht konfigurierte SMTP-Server zu Spamschleudern werden. Firewalls seien bei weitem kein ausreichender Schutz, da viele Sicherheitslücken über ein und die selbe Verbindung funktionieren. Als Beispiel führt er den Microsoft Internet Explorer an, der zwischen drei- und fünfhundert Sicherheitslücken liefere, die alle über HTTP ausgenutzt werden können.
Das gesamte Interview steht auf Computerworld.com zur Verfügung.
