Software::Security
Core Infrastructure Initiative äußert sich zu Grsecurity
In der Woche nach der Ankündigung von Grsecurity, die freie Verfügbarkeit von Patches einzustellen, gab es eine Reihe von gegenseitigen Schuldzuweisungen und Kommentaren. Nun nimmt auch die Core Infrastructure Initiative Stellung.
Linux Foundation
Vor einer Woche hatte
das Grsecurity-Projekt verkündet, seine Patches, die die Sicherheit des Linux-Kernels verbessern, künftig nur noch zahlenden Kunden zur Verfügung zu stellen. Das seit 16 Jahren bestehende
Grsecurity-Projekt um den Sicherheitsforscher Brad Spengler (Spender) ist ein Pionier von Lösungen, die den Linux-Kernel gegen Sicherheitslücken weniger anfällig machen sollen. Diese Lösungen wurden unter der GPLv2 als ein großer Patch für die aktuellen Kernel-Versionen bereitgestellt. Hierin liegt auch ein Grund, warum die Maßnahmen von Grsecurity nur in kleinen Teilen in den Linux-Kernel übernommen wurden. Die Kernel-Entwickler akzeptieren nur überschaubare Patches, die sich auf jeweils einen Aspekt konzentrieren und einzeln diskutiert und begutachtet werden. Das bedeutet für den Einreicher von Patches viel Arbeit, und diese Arbeit wollte sich das Grsecurity-Projekt nicht machen.
Abhilfe schaffte die von der Linux Foundation gegründete Core Infrastructure Initiative (CII), die einzelne Entwickler dafür bezahlte, möglichst viel Code von Grsecurity zu integrieren. Die eigentliche Arbeit leistete das von Kees Cook gegründete Kernel Self Protection Project (KSPP). Wie die CII jetzt schreibt, bedauert sie die Entscheidung von Grsecurity, erkennt aber auch deren Recht an, so zu handeln. Die CII will die Integration von Sicherheitsverbesserungen weiterführen. In der Verlautbarung wird nicht nur deutlich, dass KSPP bereits weit mehr Verbesserungen eingebracht hat, als den meisten bewusst ist, sondern dass in Punkto Sicherheit auch bei den Kernel-Entwicklern ein Umdenken eingesetzt hat. Vorbeugende Maßnahmen werden nicht mehr bekämpft, wenn sie die Kompatibilität oder die Geschwindigkeit beeinträchtigen, sondern ihre Integration in den Kernel wird angestrebt, zumindest als Option. Das wird als besser angesehen, als wenn solche Maßnahmen nur als externer Patch zur Verfügung stehen.
Die Ankündigung des Grsecurity-Projekts suggerierte, dass es dem Team zuviel Arbeit sei, Patches in den Kernel zu integrieren. Tatsächlich wurde dem Team die Arbeit durch KSPP weitgehend abgenommen. Wie Kees Cook in einer langen E-Mail ausführlich darlegte, profitierte Grsecurity sogar stark davon, indem es die KSPP-Entwicklungen in ihren Patch übernahm, der dadurch vielleicht nicht kleiner, aber zumindest leichter auf neue Kernel-Versionen zu portieren ist. Die Kritik von Grsecurity wird auch von anderer Seite als überzogen angesehen. So würde Grsecurity gar nicht existieren und die dahinter stehende Firma hätte keine Geschäftsgrundlage, wenn sie nicht den kompletten Linux-Kernel als Ausgangsbasis hätte. Dass Code zwischen Grsecurity und dem Kernel hin- und herfließt, ist die Art und Weise, wie Open Source funktioniert, betont auch die CII in ihrer Mitteilung.
So geht es Grsecurity letztlich nicht um den Code, sondern um das Geld. Grsecurity lebt davon, für seinen Patch zahlende Kunden zu finden. Die Arbeit von KSPP wird von Grsecurity als Beeinträchtigung des Geschäfts gesehen. Für diese Position scheint es aber wenig Verständnis zu geben. Artikel auf LWN und Whonix sind auf der Seite von KSPP. Gentoo Hardened stellt Überlegungen an, wie der Patch weiter gepflegt werden kann. Offenbar haben Entwickler von Gentoo Hardened nun als Reaktion ein Hardened Kernel Project ins Leben gerufen, dem auch Kees Cook (KSPP/Google) und Daniel Micay (CopperheadOS) angehören. Auf der Projektseite findet man auch eine Übersicht über den Umfang des Grsecurity/PAX-Patches und den Stand der Integration in den Kernel.
){kind=logo}
