Öffentliche Fehlersuche im Trend

Nach den Monaten der "Apple-Bugs", "Browser-Bugs" und "Kernel-Bugs" wurde der März nun der Fehlersuche in der Script-Sprache PHP gewidmet. Die gemeinsame Suche nach Software-Fehlern und Sicherheitslücken hat Vor-, aber auch Nachteile.

Programmierer können ein leidvolles Lied davon singen: Der Code ist fertig und einsatzbereit - nur: Er funktioniert nicht. Tage-, Nächte- oder auch Wochenlang klemmt man sich dahinter, bis mitunter aus einer völlig anderen Ecke bzw. dem Netz ein Hinweis auftaucht und das Problem gelöst werden kann.

Das Fazit: Gemeinsam bzw. mit Hilfe anderer können Fehler meist leichter und schneller entdeckt bzw. aufgeklärt werden als alleine.

"Monat der PHP-Bugs"

Diese Grundidee steckt auch hinter den diversen "Bug-Monaten", die in jüngster Zeit immer öfter ausgerufen werden, aktuell der "Monat der PHP-Bugs".

Laut der dazugehörigen Website soll mit der Initiative die Sicherheit von PHP verbessert werden. Es gehe vor allem darum, Sicherheitslücken in der Script-Sprache selbst aufzudecken und diese zu stopfen, so das Hardened-PHP Project.

Sieben Sicherheitslücken in PHP, unter anderem in der Zend-Plattform, wurden, teilweise mit den passenden Exploits dazu, auf der Website bisher verzeichnet.

• Month of PHP Bugs

Öffentlichkeit birgt Risiken

Doch die Veröffentlichung von Sicherheitslücken und vor allem der Exploits dazu birgt Risiken. Nicht alle Fehlersucher sind daran interessiert, etwaige Lücken oder Bugs zu beseitigen - im Gegenteil: Sie suchen einen persönlichen Vorteil und nutzen die Lücken dazu, fremde Systeme oder Rechner anzugreifen.

Gerade in der Virenschreiberszene folgt üblicherweise auf jede neue Sicherheitslücke der passende Exploit, der diese Lücke auszunützen sucht.

Auch gibt es offenbar immer wieder Probleme, dass neu entdeckte Sicherheitslücken und die Exploits dazu allgemein als gefährlich anerkannt werden.

So schreibt das Hardened-PHP Project in seinen FAQ, dass neu entdeckte Fehler vom eigentlichen "Verfasser" mitunter als persönlicher Angriff missverstanden werden.

• IT-Sicherheit verschlechtert sich weiter

Aufmerksamkeit vs. Zeit für Reparatur

Die Initiatoren solcher Aktionen selbst argumentieren, dass mit den öffentlich ausgerufen "Fehler-Monaten" nicht nur mehr Fehler gefunden würden, sondern auch die Aufmerksamkeit und die Bereinigungsquote stiegen.

So meinte der Initiator des "Month of Browser-Bugs", H. D. Moore, gegenüber CNet Anfang Jänner, seine Erfahrung zeige, dass durch veröffentlichte, funktionierende Exploits Software-Sicherheitslücken vom jeweiligen Anbieter deutlich schneller geschlossen würden.

Kritiker, unter anderem die Software-Anbieter selbst, halten dem entgegen, dass durch die öffentliche Bekanntgabe weniger Zeit bleibe, den jeweiligen Bug zu schließen, bevor ein passender Exploit in Umlauf kommt.

Allerdings zeigen Beispiele aus der jüngsten Vergangenheit, dass Zeit alleine nicht reicht: Der weltgrößte Software-Anbieter Microsoft war letztes Jahr in die Kritik geraten, weil ein Patch für eine bekannte Lücke im Internet Explorer zu lange auf sich warten ließ. Drittanbieter waren in diesem Fall schneller.

• Kritik an langsamen Microsoft-Patches

Basis für freie Software

Aus der Open-Source-Szene ist das Prinzip der gemeinsamen Fehlersuche nicht wegzudenken und sichert laut Entwicklern so auch die konstante Weiterentwicklung und Fehlerbehebung von freier Software.

Selbst Microsoft hat sich mit seinem proprietären Betriebssystem Windows Vista letztes Jahr einem "Hacker-Test" gestellt. Allein, der Versuch half nichts: Kaum einen Monat nach der Einführung von Vista wurde die erste Sicherheitslücke entdeckt.

• Erste Sicherheitslücke in Windows Vista

• "Linux-Kernel wird immer fehlerhafter"

• Microsoft lädt "Hacker" zum Vista-Test

(futurezone | CNet)