Heartbleed und seine Schockwellen

25.04.14

In den letzten Tagen sind hier und da einige Berichte über Heartbleed und OpenSSL veröffentlicht worden und meine Güte, die ganze Situation weitet sich zu einer veritablen Katastrophe, die selbst meine Erwartungen übersteigt.Wenn ich den diversen Berichten glauben schenken darf, dann scheint OpenSSL bezogen auf seine Codequalität eine einzige Katastrophe zu sein und manversucht wohl nun hastig, die schlimmsten Fehler, Unachtsamkeiten und sonstigen Mist zu bereinigen. Wie ich schon vor einigen Tagen geschrieben habe, hätte schon der Heartbleed-Bug nicht passieren dürfen, wenn man dem Mythos Open Source glaubt,da doch tausende Augen draufschauen. Ich habe da schon geschrieben, wieso das in der Theorie zwar alles ganz toll klingt, in der Praxis aber ganz anders aussehen kann.

Die letzten Tage – wenn alles das stimmt, was ich so gelesen habe – bestätigen meine These, denn nicht nur wurde der gigantische Heartbleed-Bug jahrelang nicht entdeckt, nein, anscheinend ist nicht einmal der restliche Code von der Qualität, wie man es von einer so dermaßen essentiellen Sicherheitssoftware erwarten kann. Von einem simplen Fail kann man nicht mehr sprechen.

Für all diejnigen, die in dieser Zeit gerne entschuldigend auf mildernde Umstände hinweisen wollen oder Ausreden suchen, denen sei ein kurzes Gedankenspiel ans Herz gelegt: Man stelle sich vor, dieser Bug und die nachfolgenden “Enthüllungen” seien in einem Stück Sicherheitssoftware von Microsoft (oder Micro$oft, wie es die kindlichen Gemüter unter den Genialen gerne schreiben) passiert. Ich wette, dass jeder aus der Community aufgesprungen wäre, um das Hallelujah auf Open Source zu singen und zu schreiben, dass man von einer Closed-Source-Schmiede wie Microsoft, die auch noch – wie ekelhaft – nach Einnahmen strebt, eben nichts besseres erwarten konnte und die Genies eben alle auf der offenen Seite stehen. und das wäre noch das Harmloseste.

Das besonders ironische an dieser ganzen Situation ist nun eine der jüngsten Entwicklungen, nämlich die, dass genau diese verhassten Geldschmieden Geld für OpenSSL und andere Open-Source-Projekte spenden und das Geld gerne genommen wird. In einem Zeit-Artikel (kein Link, Leistungsschutzrecht und so) wird sogar einer vom OpenSSL-Projekt zitiert, der meint, dass man von den Firmen und Regierungen erwarten bzw. verlangen kann, etwas zu spenden, da sie die Software ja nutzen. Wie sich Open Source dann noch von verkaufter Software unterscheidet bleibt sein Geheimnis. Aber gut, die Heartbleed-Katastrophe scheint die Arroganz mancher Open-Source-Leute nicht im geringsten geschmälert zu haben.

Man möchte meinen, dass wirklich alle etwas aus Heartbleed gelernt haben und sich in Bescheidenheit üben. Aber ich bin in der Hinsicht wohl einfach zu naiv.



Kommentar schreiben

Ich bin kein Spambot, sondern ein Mensch (Pflichtangabe)