Aus den Augen - aus dem Sinn?
Immer öfter fallen Schatten amerikanischer Gesetze auf OpenSource-Anwendungen und Distributionen aus Asien, Europa, und weiteren Teilen der Welt - mit immer unkalkulierbaren Risiken.
Es dürfte wohl hinlänglich als Irrglaube bekannt sein, dass keine Anwendung wirklich sicher ist und keine Applikation fehlerfrei arbeitet. Selbst Mammut-Projekte wie die Ariane mussten bereits Fehlschläge wegen Fehler im Quellcode hinnehmen. Es ist deshalb nichts ungewöhnliches, dass Bugs gefunden und behoben werden. Ungewöhnlich ist dagegen die jüngste Vorgehensweise der Kernel-Hacker.
Bereits im Kernel 2.4.19 wurden eine Reihe von Fehlern in Treibern für US-Geräte behoben, die stillschweigend Einzug in den Kern hielten. Die Nicht-Publikation der Fehler beruht interessanterweise nicht auf einer Security-by-Obscurity-Strategie, die bei manchen Unternehmen durchaus eine gängige Praxis darstellt und von Microsoft gefordert wird, sondern vielmehr auf den unseligen Auswirkungen des überzogenen US-amerikanischen Digital Millenium Copyright Act (DMCA).
Die Entdecker der in Hardware-Treibern für Komponenten von US-Firmen residierten Lücken befürchten nun, die Publikation und Untersuchung der Fehler könnte ihnen als Straftat ausgelegt werden. So Abwegig wie diese Aussage klingen mag, so absurd scheinen die Auswirkungen zu sein. In der Vergangenheit wurde der Russe Sklyarov vom FBI verhaftet, nachdem er einen Vortrag über eine Schwäche des Adobe eBook gehalten hatte und in die USA angereist war. Um einen ähnlichem Ärger aus dem Wege zu gehen, publiziert der Kernel-Hacker Alan Cox in seinen ChangeLog teilweise Passagen mit dem Text »Zensiert wegen DMCA«.
Wie nun dem RUS-CERT-Ticker zu entnehmen ist, wurden weitere Fehler im Kernel gefunden, die bereits gefixt worden sind und keine Erwähnung im offiziellen Kernel-Log fanden. Folglich gibt es auch nur spärliche Informationen zur Ausnutzung und »Arbeitsweise« dieser. Zumindest ist bekannt, dass es sich lediglich um lokal ausnutzbare Schwächen handelt, welche die Vorzeichenbehandlung und das Type Casting von Variablen, sowie numerischen Overflows betreffen. Als gefährdete Module identifiziert das Red Hat Security Advisory RHSA-2002:206-12 die Treiber ijx (Telefoniekarte), pcilynx (Firewire) und bttv (Video-Capture-Karte).
Die stillschweigende Änderung des Kernels trägt nicht nur zur Desillusion der Anwender, sondern untergräbt ebenfalls das Prinzip der Transparenz und der Reaktion auf Fehler. Dazu merkt das CERT, unter Bezugnahme auf den DMCA, an: »Da die stillschweigende Korrektur und verzögerte Bekanntgabe von Sicherheitsproblemen in Linux mittlerweile regelmäßig vorkommt, sollte versucht werden, möglichst aktuelle Kernel-Versionen zu verwenden, auch wenn dies natürlich mit Risiken für den Produktionsbetrieb verbunden ist.« Ein starker Tobak und nicht sonderlich dienlich dem OpenSource-Gedanken.
Gerade Freie Software beansprucht für sich transparent zu sein. Fehler werden schnell gefixt und bekannt gegeben. Doch nun scheint das Prinzip weltweit durch einen US-amerikanischen Gesetz gestört zu sein. Kaum ein Administrator wird gewillt sein bei jeder neuen Kernel-Version sein System upzudaten um prophylaktisch möglichen Fehlern vorzubeugen. Nun scheint aber das überzogene Digital Millenium Copyright Act solche Vorgehensweise gar vorzuschreiben und Auswirkungen auch auf OpenSource zu haben.
