Moin!
Man sollte Billy Boy verklagen, dass er für unerfahrene Programmierer sogar so grosse Löcher offen lässt und dafür Millionen verdient!
Wieso? Für die Lücke gab es im 13. April einen Patch, Administratoren hatten also mehr als _ZWEI_ Wochen Zeit, die Systeme zu aktualisieren. Gerade bei Firmen habe ich absolut kein Verständnis dafür, dass die Systeme befallen wurden, schließlich sollen Administratoren so etwas ja auch verhindern.
Die Sache ist leider wesentlich komplizierter.
Wie man sich leicht vorstellen kann, sind Netzwerke von großen Unternehmen ebenfalls groß - und mit der Größe geht eine hohe Komplexität einher. Verschärfend kommt noch hinzu, dass oftmals spezielle Programme im Einsatz sind, auf welche der Hersteller eine Funktionsgarantie nur bei Einsatz einer bestimmten OS-Version gibt.
Der Admin ist also in jedem Fall in der Falle: Er hatte (in diesem Fall) zwei Wochen Zeit, entweder äußere Abwehrmaßnahmen (Firewall etc.) aus dem Boden zu stampfen, oder auf einem Testsystem den Patch zu evaluieren (wobei das natürlich auch nicht einfach ist, wenn die Software hinterher versteckte Fehler aufweist, oder er kann hoffen, dass nichts passiert. Sowas weiß man ja vor Auftreten des Wurms nicht, ob einer kommt.
Und so passiert es dann eben mal, dass (wie bei der Post) die Firewall so streng eingestellt wird, dass die wichtige interne Unternehmenskommunikation gestört ist (Frage für hinterher: Warum gibts im System einen derartigen Single-Point-of-Failure?).
Im anderen Fall ergibt die Evaluation des Patches vielleicht, dass alles klappt, die Garantie des Herstellers ginge aber flöten. Und wenn dann im Livebetrieb doch Probleme auftreten, hat man wieder Probleme.
Und der, der nichts tut, ist natürlich von vorneherein böse. :)
Die Probleme sind also sehr vielschichtig. Jedenfalls definitiv von anderer Qualität, als wenn es darum geht, auf einem HTTP-Server mal eben den Apache auszutauschen.
Apropos Apache: Das führt mich zu Linux. Und bei Linux frage ich mich immer: Gibts da eigentlich auch so ein schreckliches Durcheinander in den DLLs (die natürlich nicht DLLs heißen :) )? Denn ich glaube kaum, dass man sich dort irgendwie auf Dinge wie "Diese Software läuft nur mit Win2k SP3 Patchlevel 1325" einlassen würde. Und es widerspricht auch irgendwie meinem Empfinden, dass das Schließen einer Sicherheitslücke für einen Dienst derartige Auswirkungen haben sollte.
Aber das ist vermutlich die altbekannte Microsoft-Krankheit: Statt Protokolle zu standardisieren und zu veröffentlichen, wird das gerade nicht gemacht, aber in jeder neuen Version irgendein wichtiges Detail geändert. Damit wird die ganze Sache im Einzelfall inkompatibel, und Software verweigert unerwartet den Dienst. Ein vernünftiges Softwarekonzept würde jedenfalls exakt nur die standardisierten Softwareschnittstellen benutzten, und ein Update der dahinterliegenden Software dürfte die Schnittstelle in keiner Weise beeinflussen. Denn die Schnittstelle darf ja ohnehin nur für die erlaubten Operationen benutzt werden, alle Verhaltensweisen außerhalb der Spezifikation sind zumindest so zu behandeln, dass das System nicht kompromittiert wird.
Könnte es sein, dass Linux-Programmierer sich des Umstandes viel bewußter sind, dass ihre Arbeit an Bibliotheken und Modulen nur mit einer strikten Einhaltung der spezifizierten Schnittstelle funktionieren kann, weil sie ja eine wichtige Basis für die Arbeit anderer Programmierer bilden?
- Sven Rautenberg