So spricht der Heise-Artikel von einem Schädling, der sich über eine “längst behobene XMLRPC-Lücke beispielsweise” in den Programmen X, Y und Z verbreite. Im Hinweis auf die besagte Sicherheitslücke in XMLRPC ist direkt auf den zugehörigen Heise-Artikel verlinkt. Die Worte “längst behoben” bedeuten, dass die Sicherheitslücke a) bereits seit Längerem bekannt ist - denn erst mit Bekanntwerden konnte sie “behoben” werden, und sogar das ist schon “längst” geschehen - und b) bereits bereinigt (”behoben”) wurde, also in aktuellen Versionen der Software schon seit geraumer Zeit nicht mehr existiert und “längst” keine Roll mehr spielt. Das Wort “beispielsweise” hätte den geneigten Leser durchaus darauf bringen können, dass es sich bei den genannten Programmen X, Y und Z um: genau, nämlich um /Beispiele/ handelt.

Über die technischen Fehler möchte ich mich an dieser Stelle nicht weiter auslassen, weil ich in der IT-Sicherheit zu den Fachidioten gehöre und detaillierte Ausführungen wohl den Rahmen eines Blogkommentars sprengen würden. Fakt ist allerdings, soviel sei denn doch gesagt, dass die Boo-Aussagen zu dem Absurdesten zählen, das ich in den letzten Jahren gelesen habe.

Das Patchen betroffener Software als eine “Flickschusterei” zu bezeichnen, disqualifiziert den Autor bereits vollständig und steht im Widerspruch zu allen Empfehlungen namhafter Fachleute, Institutionen und Unternehmen. Es gibt kaum ein Thema in der IT-Sicherheit, bei dem sich alle Beteiligten so einhellig einig sind wie gerade in diesem Punkt, und alle sagen das genaue Gegenteil dessen, was uns der Autor weismachen will: dass es nämlich die erste und allerwichtigste Sicherheitsmaßnahme ist, die verwendete Software immer auf dem aktuellsten Stand zu halten.

Der Hinweis, dass “Firewalls nicht helfen”, ist allerdings nicht weniger lachhaft: denn das von dem Autor empfohlene mod_security ist haargenau das, nämlich ein sogenannter Application Layer Firewall. Dieser arbeitet nach dem altbekannten Prinzip eines Reverse Proxy; seine einzige Besonderheit ist die Integration in einen Webserver. Offenbar verwechselt der Autor einen simplen Paketfilter mit einem Firewall und weiß nicht, was ein Application Layer Firewall ist.

Bei BooCompany scheint da jemand arg daneben gelegen zu haben.

Dort liegt BooCompany bei technischen Themen ziemlich häufig.

Der Hinweis, Quellen nicht blind zu vertrauen, ist natürlich angenommen. Allerdings ist meine Überschrift als Frage und der Text im Konjunktiv formuliert. Der Adressat der unhaltbaren Behauptungen ist somit BooCompany.

Als Multiplikator kommt mir natürlich eine Verantwortung zu, solche Meldungen nicht unreflektiert zu verbreiten. Ich hätte vorher bei Ihnen anrufen sollen. Dann wäre mein Eintrag vielleicht anders ausgefallen und Ihre Sichtweise ebenfalls dargestellt worden.

Dass Sie sich hier in den Kommentaren selbst dazu geäußert haben, begrüße ich deshalb umso mehr. Dazu sind die Kommentare ja auch gedacht, um gemeinsam, vielleicht melden sich auch noch weitere Experten zu Wort, Sachverhalte und Missstände aufzuarbeiten; gerade dann, wenn im Eintrag Fragen formuliert wurden.

da nun die Sache mit diesem Posting durch die Nennung meines Namens endgültig persönlich geworden ist, erlaube ich mir an dieser Stelle auch einen (rein) persönlichen Kommentar.

Mein Name ist im Internet nun offenbar verknüpft mit den Attributen “schlecht recherchierender Journalismus” und “Verbreitung von Anti-Open-Source-Stimmung”. Mir war bis vor kurzem nicht klar, dass Einige selbst vor diesen Mitteln nicht zurückschrecken. Die ersten Angriffe (zunächst gegen mein Redakteurskürzel) kamen interessanterweise aus einer Ecke, in der man sich anscheinend besonders gerne hinter Pseudonymen versteckt.

Ich komme zunächst einmal zu dem zweiten Punkt. Die Behauptung, eine Meldung, die eine aktive neue Variante eines Wurms beschreibt, der primär eine Lücke in einem Open-Source-Programm ausnutzt, verbreite Anti-Open-Source-Stimmung, ist gelinde gesagt absurd. Dass frei über Sicherheitslücken in Open-Source-Produkten berichtet wird ist der eigentliche Vorteil dieser Software-Philosophie! Aus Sicherheits-Perspektive ist es nämlich durchaus wünschenswert, wenn Lücken nicht unter den Tisch gekehrt werden, wie es manche Firmen gerne praktizieren, wenn der Umsatz auf dem Spiel steht. Aber dieses Prinzip scheinen einige Leser, die offenbar hinter jeder erwähnten Schwachstelle einen Angriff auf ihre heile Welt sehen, nicht so recht zu verstehen. Und mein Bericht soll nun als repräsentatives Anti-Open-Source-Beispiel für den gesamten Newsticker herhalten? Vielleicht sollte ich an dieser Stelle einmal erwähnen, dass ich seit nun rund acht Jahren ausschließlich Linux und Open-Source-Software einsetze und nicht vorhabe, das in den nächsten Jahren zu ändern?

Kommen wir doch zum Punkt der schlechten Recherche. Das Augenmerk meines Beitrags lag auf der Tatsache, dass sich ein Wurm aktiv verbreitet, der Linux zur Propagation benötig und offenbar hauptsächlich durch eine Mambo-Lücke in Systeme eindringt. Genau in diese Punkte machen ihn zu einer meldenswerten Angelegenheit. Meine Meldung soll also “veraltet” sein, weil andere Stellen schon vor Monaten über die ausgenutzte Lücke berichteten? Schön, aber “brandaktuell” war nunmal der Wurm dazu. Ziemlich lustig fand ich die Behauptung von BooCompany, mod_security sei der “einzig wirkliche momentan bekannte Schutz” gegen den Wurm, während im ersten Absatz noch fabuliert wurde: “betroffene Programme updaten ist Flickschusterei”. Stattdessen unverständliches Geschwafel über Firewalls und die Forderung, doch bitteschön den Mambo-Fork namens Joomla zu erwähnen. Was hat das mit dem eigentlichen Thema zu tun?

Für wirkliche Argumente bin ich immer offen. Doch der Spaß hört meines Erachtens auf, wenn unhaltbare Behauptungen gegen Personen geschossen werden. Im Prinzip halte ich Eure Arbeit und Euer Projekt Watchblog für richtig und wichtig. Es ist eine wünschenswerte Eigenschaft, der Presse, den Medien und vorallem seinen Quellen nicht einfach blind zu vertrauen. Aber das sollte nicht nur für Heise, sondern unbedingt auch für Eure Arbeit hier gelten. Unreflektierter Journalismus wäre nämlich nicht viel besser als schlecht recherchierender.

Mit besten Grüßen.