Sicherheitslücken: Linus Torvalds beschimpft OpenBSD

Linux-Guru Linus Torvalds ist offenbar nicht gut auf Sicherheitsexperten zu sprechen. Insbesondere nicht auf die Macher des Unix-Betriebssystems OpenBSD. Dabei vergreift sich der Linux-Guru auch mal im Ton. In einer Mail an einen Kernel-Entwickler bezeichnete er die OpenBSD-Macher als "masturbierende Affen". Entdeckt wurde die Mail vom britischen Newsdienst ZDNet in der Mailing-List Gmane, an der sich Linux-Entwickler beteiligen.

Auslöser des verbalen Ausrutschers war eine Äußerung eines Entwicklers aus dem PaX-Team, das sich damit beschäftigt, den Linux-Kernel zu patchen. Dieser hatte Torvalds und anderen Entwicklern vorgeworfen, dass sie Bugs im Kernel nicht klar genug als Sicherheitslücken kennzeichneten und damit das Problem vertuschten.

Da war er bei Torvalds aber an den Falschen geraten. Der ist offenbar der Auffassung, dass ein Teil der Sicherheitsbranche nur darauf aus sei, Bugs in der Software zu finden, ihre Entdeckungen zu veröffentlichen und so den Bekanntheitsgrad zu steigern. Es sei aber ausreichend, den Bug selbst zu benennen. Man müsse nicht gleich die Sicherheitslücke öffentlich machen, die daraus entstünde.

Weiter meint der Linux-Guru, wer die Bugs in den "Sicherheitszirkus" trage, würde damit nur das falsche Verhalten belohnen. "Das macht die Security-Experten zu Helden. So als ob die Leute, die einfach normale Bugs beheben, nicht so wichtig seien."

Sicherheitsexperten als Schwarz-Weiß-Denker

Darin zeigt sich offenbar ein Grundproblem im Umgang mit Software-Bugs. Ist es wichtiger, den Fehler einfach zu beheben und weiter keine große Aufregung zu stiften? Oder ist es besser, erst mal Alarm zu schlagen und die Sicherheitslücke und ihre möglichen Folgen zu benennen. Torvalds hat in dieser Diskussion klar Position bezogen. Er prangert das Schwarz-Weiß-Denken von Sicherheitsexperten an. Für ihn hingegen seien "all die langweiligen, normalen Bugs viel wichtiger", weil es viel mehr davon gebe.

Den Entwicklern von OpenBSD hält er vor, dass sie so stark auf Sicherheit fixiert seien, dass alles andere unwichtig für sie werde. Daher der unschöne Ausdruck mit den "masturbating monkeys".

Die bösen Worte von Torvalds lassen die OpenBSD-Vertreter nicht auf sich sitzen. In Statements gegenüber ZDnet heißt es, Torvalds' Äußerungen zeugten von Ignoranz. Die OpenBSD-Entwickler "konzentrieren sich nicht auf Sicherheit - sie konzentrieren sich auf korrekten Code", erklärt Entwickler Kjell Wooding.

Mit der Attacke gegen das Unix-Betriebssystem trifft Torvalds sicher die Falschen. Das Projekt OpenBSD hat zwar das Thema Sicherheit ganz oben auf die Prioritätenliste gesetzt. So bietet das Betriebssystem beispielsweise eingebaute Verschlüsselungsmodule. Doch mindestens ebenso wichtig ist die strikte Einhaltung der Open-Source-Philosophie. Entwickler und Anwender sollten immer den vollen Einblick in den Quellcode erhalten. Außerdem soll jeder den Software-Code ohne irgendwelche Einschränkungen nutzen dürfen.

Torvalds hat seinen verbalen Ausfalle inzwischen wohl selbst bereut und sich bei der OpenBSD-Community entschuldigt.