Linus Torvalds ist in der IT-Szene berühmt-berüchtigt für emotionale Ausbrüche. Vor einigen Jahren hat er dem Prozessor-Hersteller Nvidia wegen angeblich schlechter Grafiktreiber öffentlich den Stinkefinger gezeigt und die seiner Meinung nach zu Sicherheits-orientierten OpenBSD-Entwickler bezeichnete er als eine Gruppe «masturbierender Affen».
Vor einigen Tagen hat Torvalds auf der öffentlichen Mailingliste der Linux-Entwickler-Community gewisse Sicherheitsforscher als «verfickte Schwachköpfe» tituliert – und damit in ein Wespennest gestochen.
Die unschöne Bezeichnung richtet sich unter anderen an Kees Cook, seines Zeichens Sicherheitsingenieur bei Google. Googles Sicherheitsteam findet immer wieder Lücken in Software von Apple, Microsoft, Google selbst und natürlich auch bei Linux.
Cook hatte unlängst Sicherheitsverbesserungen im Linux-Kernel vorgeschlagen, die Torvalds offenbar in den falschen Hals gerieten. Laut Torvalds tendieren heute viele Sicherheitsforscher dazu, jede kleine Sicherheitslücke in Betriebssystemen als grosse Katastrophe aufzubauschen.
Konkret nervt sich Torvalds darüber, dass manche Sicherheitsforscher potenziell gefährliche Prozesse in Betriebssystemen lieber gleich ganz abwürgen, statt besonnen auf Ursachenforschung zu gehen. Damit verstossen sie gegen Torvalds Devise, dass grössere Änderungen im Kernel des Betriebssystems immer nur in kleinen Schritten erfolgen sollen.
«ES IST NICHT AKZEPTABEL», schreit Torvalds in Grossbuchstaben, wenn Sicherheitsforscher einfach die Spielregeln ändern wollen. Sicherheitsleute, die einfach mal alles potenziell Gefährliche in einem Betriebssystem abwürgen wollen und erst nachher fragen, was denn eigentlich das Problem ist, seien Idioten, mit denen er nicht mehr arbeiten wolle.
Die Wortwahl des Linux-Vordenkers wurde in den letzten Tagen in der Linux-Entwickler-Community heftig diskutiert: Unterstützung erhält Torvalds dabei gar aus den Reihen der Sicherheitsforscher: Kleinere Sicherheitslücken in Betriebssystemen seien ganz normal und würden es nicht rechtfertigen, Torvalds Regeln, wie Linux weiterentwickelt wird, zu umgehen. Diese Meinung vertritt zumindest der bekannte Sicherheitsforscher Robert Graham von Errata Security in einem Blogpost.
Man müsse den Entwicklern von Drittsoftware Zeit geben, ihre Programme anzupassen, bevor man Änderungen am Betriebssystem vornimmt. Seiner Meinung sehen Sicherheitsforscher oft nur die Gefahr durch Sicherheitslücken, statt das Ganze im Kopf zu haben. Schlussendlich könne ein aus Sicherheitsgründen erzeugter Kernelfehler eine grössere Katastrophe auslösen als die eigentliche Sicherheitslücke, die so gestopft werden soll.
Graham missbilligt zwar Torvalds Kraftausdrücke, kann dessen erneuten verbalen Ausrutscher aber durchaus nachvollziehen: «Sicherheitsleute sind oft scheinheilige Bastarde mit festgefahrenen Denkstrukturen.»
Torvalds ist auch nach über 25 Jahren noch immer die treibende Kraft hinter der Linux-Kernel-Entwicklung und seit langem der Meinung, dass sich viele Sicherheitsforscher auf Kosten der Software-Entwickler profilieren wollen, anstatt selbst mitzuhelfen und die Schwachstellen zu schliessen, die sie gefunden haben.
Mit dieser Meinung steht Torvalds in der Entwickler-Community nicht alleine da, heftige Kritik bringt ihm aber immer wieder seine unflätige Ausdrucksweise ein.
(oli via heise)