Software::Kernel
Audit des Linux-Kernels
Nachdem in letzter Zeit einige Sicherheitslücken im Linux-Kernel gefunden worden waren und dies in den Medien starkes Echo hervorrief, rücken Kernel-Entwickler die Verhältnisse wieder zurecht.
Auf der Linux-Kernel Mailingliste wurde die Frage gestellt, die sich wohl viele Leser schon gestellt haben: Findet eine Prüfung des Kernel-Codes statt und falls ja, ist diese angesichts der gefundenen Probleme ausreichend?
Alan Cox, der wohl intimste Kenner des Kernel-Codes, erklärte hierzu, daß er bereits seit langer Zeit die Sicherheitsprobleme des Kernels beobachtet. Er erkennt darin zwei Trends, die beide zu einer besseren Situation führen. Zum einen gibt es inzwischen Tools wie Coverity und Sparse, die das Prüfen des Kernel-Codes automatisiert durchführen und zahlreiche Probleme aufgedeckt haben. Viele davon waren bereits seit langer Zeit vorhanden, aber nicht bemerkt worden. Ihre Entdeckung führte zwar zu einem Aufschrei der Medien, die prompte Beseitigung hingegen zu einem sichereren Kernel.
Der zweite Trend ist, daß Sicherheitslücken eines bestimmten Typs oft in Schüben auftauchen. Eine gefundene Sicherheitslücke zieht Prüfungen in anderen Teilen des Kernels nach sich, die weitere ähnliche Probleme finden und beseitigen. Nach kurzer Zeit fällt die Zahl weiterer gefundender Probleme ab und bewegt sich in Richtung Null. Cox merkt auch an, daß einige Leute jede einzelne Zeile der Änderungen im Kernel lesen, er selbst sei einer davon.
Theodore Ts'o merkte an, daß die wenigsten Kernel-Fehler zu Sicherheitslücken führen, die von fremden Rechnern ausnutzbar sind. Die meisten Fehler fallen in eine der folgenden drei Kategorien:
- Erlangen von zusätzlichen Privilegien
- Dies bedeutet, daß die Prüfung der Rechte an einer Stelle mangelhaft ist.
- Preisgabe von Daten
- In Ts'os Augen ist dies zwar formal eine Sicherheitslücke, aber in den meisten Fällen kann ein Angreifer nur uninteressante Daten lesen.
- Denial of Service
- Diese Klasse von Fehlen ist nach Ts'o langweilig, denn es gibt bereits genügend Möglichkeiten für einen Angreifer, auch ohne einen Kernel-Fehler eine solche Attacke zu starten.
Ts'o weist auch auf das oben bereits Gesagte hin: Ein Anstieg der Zahl der gefundenen Fehler heißt nicht, daß die Software fehlerhafter wird. Zudem unterscheiden die Statistiken normalerweise nicht zwischen Fehlern, die erst nach langer Zeit gefunden werden und solchen, die in jüngst modifiziertem Code auftauchen.
