Security

It's an often told story that the free software community cares more about security. That it's much better because everyone can look at the code. While this may sometimes be true and I know many free software projects really care about security issues, often enough it's the exact opposite.

On 26.04., some guy called Marsu released an advisory about the GIMP. Loading files in the sunras-format can lead to a buffer overflow. Now, while it was silently fixed in svn, for a month they didn't put an advisory on their page and they didn't provide an update. Even with the release of new versions (2.2.15, 2.3.17), they somehow »forgot« to mention that it was a security-update.
Now, after looking into the NEWS-file (which is their Changelog), for 2.2.15 there's this little line:
- guard against a possible stack overflow in the Sunras loader (bug #433902)
They didn't mention the word »security«, they didn't give credits to Marsu, they didn't provide a reference to the advisory or the CVE-ID. Now, even worse, for 2.3.17, they forgot to mention that bug at all (it's probably part of the mentioned »lots of bug fixes«).

Now one might say this isn't that critical, because who uses sunras (I also never heared of that format before)? But think about this: I could mail someone a crafted sunras-file, saying it's an old image I found on some backup HD, together with the note that gimp can open it. I think it's not unlikely that someone might open it, especially with some intelligent social engineering. Beside that, EVERY SINGLE security bug should be taken serious.

Now, don't take me wrong. I love the GIMP, it's a great application. I also think that free software is an important precondition for secure software. But it's not the only thing. And as long as many people in the free software community treat security bugs like this, it's no better than those in the proprietary world.

Es scheint heutzutage mehr und mehr zur Selbstverständlichkeit zu werden, dass immer dann, wenn Politik sich »mit Computern« beschäftigt, vor allem die sich besonders laut hervortun, die gleichzeitig unmißverständlich klarstellen, dass sie vom Thema eigentlich garkeine Ahnung haben. Das haben Schäuble und Zielke bei der Debatte um den »Bundestrojaner« nur allzu deutlich getan, das zeigt sich auch bei der unsäglichen Debatte um sogenannte Killerspiele.

Und in dieser Tradition geriert sich auch das heute beschlossene Gesetzeswerk zur Bekämpfung der Computerkriminalität. »Hacktools« werden verboten.

Frage 1: What the hell is a hacker?
Es gehört wohl zu einer der Fragen, bei der 5 Fachleute mindestens 7 Meinungen haben. Das reicht vom Verständnis des Hackers als jemandem, der sich kreativ-spielerisch mit Technologie außeinandersetzt über die Unterscheindung in White- und Blackhats (bzw. Hacker und Cracker) bis hin zum populären Verständnis des bebrillten Jugendlichen, der NASA-Rechner hackt, dazwischen in den verschiedensten Schattierungen der revolutionäre Kämpfer für Informationsfreiheit (23).
Ein solcher Begriff, sollte man meinen, ist wohl denkbar ungeeignet, um in einem Gesetzeswerk aufzutauchen.

Frage 2: Und was ist jetzt eigentlich ein »Hacktool«?
Nehmen wir großzügigerweise an, es handle sich um die Vorstellung des Hackers als jemandem, der illegal in Rechner eindringt, sich Daten beschafft und Webseiten verändert. Nun wird auch noch erläutert, "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firrmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen."
Das beruhigt ungemein. Letztendlich ist wohl zu erwarten, dass es Sache der Gerichte bleibt, zu entscheiden, ob nun der Austausch von Trojanern und Viren zum Zwecke der Sicherheitsforschung darunter fällt, ob ein Tool wie Nessus oder johntheripper schon kriminelle Energie impliziert.
<Sarkasmus>Bekanntlich erwiesen sich deutsche Gerichte in der Vergangenheit immer besonders kompetent und informiert, wenn es um die Beurteilung von derartigen Fragen ging.</Sarkasmus>

Desweiteren sei als interessante Sidenote noch bemerkt, dass auch die »Bürgerrechtsparteien« FDP und Grüne geschlossen für den Entwurf stimmten. Lediglich der SPDler Jörg Tauss gab sich als Dissident gegen den Fraktionszwang und votierte mit der Linkspartei dagegen.

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0
is all I have to say today.