Kommentar: Linux Mint hat aus dem Hack nicht gelernt
Einleitung
Vor kurzem hat Linux Mint einen massiven Bruch seiner Sicherheit erlitten, der mit dem Diebstahl der Mitgliederdatenbank und kompromittierten ISO-Images einherging. Das kann jedem Projekt passieren. Entscheidend ist, was man daraus für Lehren für die Zukunft zieht. Bei Linux Mint scheint der Lerneffekt eher durchwachsen zu sein.
Gegen Mint gab es immer schon Vorbehalte
Gestandene Linuxer hegten schon immer ein gewisses Maß an Misstrauen gegenüber der auf Ubuntu aufbauenden Distribution Linux Mint. Das tat deren Verbreitung zu einer der beliebtesten Distributionen der letzten Jahre aber keinen Abbruch. Anlass zur Kritik gab des Öfteren die Aktualisierungspolitik der Distribution.
Mint-Updates sind in fünf Level gegliedert, wobei die Level vier und fünf standardmäßig blockiert sind. So werden Pakete wie X.org, der Kernel, der Browser Firefox oder VirtualBox nicht standardmäßig aktualisiert, wie in der Datei Mintupdate-Rules ersichtlich ist. Von Anwendern einer Anfänger- und Umsteiger-Distribution zu erwarten, das zu ändern, ist zuviel verlangt. Wer aber den Standard beibehält, läuft Gefahr, eklatante Sicherheitslücken auf seinem System zu haben.
Der Hack
Vor wenigen Wochen wurde die Webseite von Mint Linux von einem Hacker übernommen, ein ISO-Image der Distribution wurde mit einer Hintertür versehen und verteilt sowie die Forendatenbank gestohlen und im Internet zum Kauf angeboten. Gehackt wurde die Webseite durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Das sollte nicht passieren. Der Täter konnte in Ruhe ein ISO-Image fälschen, die MD5-Summen anpassen und die Links auf einen Server umbiegen, der zum Aufbau eines Botnets diente.
Die aus dem Forum gestohlene Datenbank enthielt die Passwörter von rund 150.000 Anwendern. Laut Nachforschungen eines Users auf Reddit war die Entschlüsselung der ungesalzenen Passwörter für kundige Hacker keine große Hürde. So weit, so schlecht.
Was hat Mint nach Bekanntwerden des Hacks falsch gemacht? Der Server der Webseite wurde zu spät vom Netz genommen, sodass ein zweiter Angriff stattfinden konnte. Positiv war in der Folge die schnelle und detaillierte Informationspolitik der Entwickler. Die Aufräumarbeiten nach solch einem Hack benötigen Zeit und Hirnschmalz, um eine ähnliche Situation künftig möglichst so zu erschweren, dass sie nicht lohnenswert erscheint. Damit erhalten Betroffene wie das Projekt Linux Mint auch eine Chance, ihr neues Sicherheitskonzept nach außen zu kommunizieren.
Nichts gelernt?
Jetzt, rund drei Wochen nach dem Bruch der Sicherheit, meldet sich Hauptentwickler Clement Lefebvre erneut zu Wort und verkündet neue Regeln für Passwörter. Im Mint-Forum werden nur noch Passwörter akzeptiert, die mindestens zehn Zeichen lang sind und Zahlen, Sonderzeichen und Großbuchstaben enthalten. Das ist eine Maßnahme, die vermutlich vielen Mint-Anwendern nicht schmecken wird, aber einen guten Schutz gegen Wörterbuchattacken bietet.
Das Vorgehen in der Mint-Community lässt wiederum am Sachverstand der Entwickler zweifeln. Hier können Anwender nicht mehr selbst das Passwort bestimmen, sondern lediglich ein neues beantragen, das ihnen dann zugeschickt wird. Per E-Mail. Jawohl, richtig gelesen. Die lieben Jungs von Mint kaufen einen Haufen Postkarten, und verschicken damit die neuen Passwörter. Eine geht an den Anwender, eine an den Mail-Provider fürs schwarze Brett und eine geht an die NSA. Jedenfalls ist das der Effekt einer solchen Blauäugigkeit.
„It’s not ideal...but it only compromises your community account for now“ Clement Lefebvre
Als Rechtfertigung gegenüber Kritikern lässt Lefebvre verlauten: „Du hast recht, es ist nicht ideal, aber es kompromittiert im schlimmsten Fall nur deinen Community-Account.“ Und als ob das noch nicht reicht, setzt er noch einen drauf und empfiehlt Lastpass als Passwortmanager. Lastpass? War da nicht was? Ach ja, die wurden ja auch gehackt – zwei Mal in den letzten vier Jahren.
Wäre ich jemals bei Mint unterwegs gewesen, spätestens jetzt wäre ich weg.
Hinweis: Der Inhalt dieses Kommentars gibt die persönliche Meinung des Autors wieder. Diese Meinung wird nicht notwendigerweise von der gesamten Redaktion geteilt.