Fouten in Linux onder het tapijt geveegd
Gepubliceerd: Maandag 23 augustus 2010
Auteur: Julie Bort
Een kwetsbaarheid in Linux bleek al meer dan zes jaar te bestaan toen hij werd gepatcht. Dit roept vragen op over de manier waarop bugs in Linux openbaar worden gemaakt.
Hij legt verder uit: "Om misbruik te maken van de bug moet een aanvaller (1) een systeem met deze kwetsbaarheid vinden - de meeste servers draaien waarschijnlijk helemaal geen X - (2) nog een bruikbare kwetsbaarheid vinden op dat systeem, dat bijvoorbeeld is te misbruiken via een kwaadaardig PDF bestand, (3) dat bestand naar het beoogde slachtoffer sturen en (4) de gebruiker zover krijgen dat hij of zij het bestand bekijkt op het beoogde systeem. Dit is geen onwaarschijnlijk scenario. De aanvallen op Google China zijn ook ongeveer op deze manier uitgevoerd. Maar het is zeker geen makkelijke aanval, die niet leidt tot een grootschalige toegang over het net."
Ondanks de geruststelling van Corbet lopen de meningen onder experts uiteen over hoe gevaarlijk dit lek is (getuige de commentaren op de post van Rutkowska en op een artikel op LWN.net). Red Hat heeft er hoge prioriteit aan gegeven en kernelontwikkelaar Greg Kroah-Hartman heeft Linuxgebruikers in niet mis te verstane woorden op het hart gedrukt: "Alle gebruikers van de 2.6.35 kernel serie moeten upgraden."
Briljante hackers
Bugs zijn nou eenmaal niet te vermijden, zelfs bugs op root-level niet. Maar eerlijk is eerlijk, Microsoft krijgt er regelmatig van langs als ze er twee maanden over doen om een bekende kritieke bug op te lossen. En zelfs als je het de ontwikkelaars van de kernel zou vergeven dat ze dat bugreport van SUSE over het hoofd hebben gezien, dan blijkt uit de paper van Wojtczuk dat een andere onderzoeker er al in 2005 een presentatie over heeft gegeven. Die PDF staat nog steeds op internet en daarin staat duidelijk dat Linux 2.6 kwetsbaar is. En nu staat daar de paper van Wojtczuk dus naast, inclusief proof-of-concept.
Torvalds staat erom bekend dat hij niet beschrijft wat de impact is van patches op Linux. Een bug wordt 'openbaar gemaakt' door het publiceren van de code, maar niet door uitleg in een bericht. Hij is van mening dat de uitleg 'script kiddies' kan helpen bij het misbruiken van de zwakke plekken. Misschien heeft hij daar gelijk in, maar de wereld van hackers is de laatste tijd erg veranderd. Er zit groot geld in, en tegenwoordig zijn het niet alleen script kiddies die machines hacken. De aanvallers zijn tegenwoordig zeker zo briljant als de mensen die de machines verdedigen.
Dat betekent dat de gebruikers de enigen zijn die niets afweten van de gaten in hun machines.
Corbet verdedigt die richtlijn niet. Hij legt alleen maar uit waar die vandaan komt. Hij zegt dat er veel kritiek is op de stille patchstrategie. "Daar hebben ze helemaal ongelijk in, maar de kenelontwikkelaars staan op het standpunt dat (1) een groot deel van de kernelbugs over het algemeen impact hebben op de veiligheid, en dat ze niet iedere keer groot alarm kunnen slaan, en (2) dat het aan de distributies is om de oplossingen naar hun gebruikers door te geven. In dit geval zullen de distributies al lang bekend zijn geweest met het probleem, voordat de oplossing werd doorgegeven. Dus het was ook niet echt nodig om alarm te slaan.
Dunne scheidslijn
Nu Linux is doorgedrongen tot productiemachines van zowat ieder groot bedrijf in de westerse wereld, wordt Linux een belangrijker doelwit voor professionele hackers, niet alleen voor script kiddies. Het wordt tijd dat de beheerders van de kernel hun disclosure policies herzien. Er is namelijk een dunne scheidslijn tussen aan de ene kant het weghouden van informatie van de slechteriken, en aan de andere kant die richtlijn misbruiken om de eigen fouten onder het tapijt te vegen.
Bron: Techworld
