Mangelde Bedienbarkeit als Gradmesser für Professionalität?

Nach einer Meldung des ADMIN-Magazins hat Fedora-Chef Smith das Exploit-Werkzeug Sqlninja aus seiner Distribution geworfen:

"Dass Sqlninja gleichzeitig großen Wert auf einfache Bedienbarkeit legt, dient den Fedora-Verantwortlichen als weiteres Indiz dafür, dass es sich um ein typisches Werkzeug handelt, das eher "Script-Kiddies" als von professionellen Security-Experten eingesetzt werde."

So nobel die Motive von Fedora auch sein mögen, Anwender und Websitebetreiber vor unverantwortlichen Angreifern zu beschützen, so bergen sie doch in zweierlei Hinsicht einige Brisanz: Das Verhalten hat einen Anklang von Zensur und Vorauseilendem Gehorsam: Mit Schaudern denke ich an die Einführung des Hackerparagrafen § 202c StGB Mitte 2007 zurück, der, wenn man das Gesetz dem Buchstaben nach interpretierte, ebenfalls das Beschaffen, Besitzen und Verbreiten von so genannten Hackertools unter Strafe stellte. Rückwirkend betrachtet, hatte das Gesetz kaum direkte Auswirkungen: Meines Wissens nach ist niemand wegen eines Verstoßes je verurteilt worden. Ob überhaupt je einen Angreifer abgeschreckt hat, wage ich zu bezweifeln. Immerhin hat es Jared Smith so abgeschreckt, dass es nicht mehr Teil der Distribution ist. Als Effekt ist es nun für Penetrationstester schwieriger, Schwachstellen in der Datenbankanbindung von Websites herauszufinden - Duktus der Dokumentation hin oder her.

Diese Argumentation, möglicherweise gefährliche Werkzeuge zu verbannen, ist nicht neu. Security-Experten werden auch nie müde, sie immer wieder zu diskutieren. Ich habe die Fragestellung mittlerweile als Policy-Entscheidung abgelegt, mir meine eigene Meinung dazu gebildet, aber akzeptiere auch gegenteilige Auffassungen dazu.

Verwundert hat mich aber die Begründung im zweiten Teil der Aussage: Die einfache Bedienbarkeit des Werkzeugs sei den Fedora-Entwicklern ein Indiz, dass es sich nicht an Profis richten könne. Solche Aussagen bringen mich regelmäßig auf die Palme, sie ist Ausdruck der Arroganz, die man bei selbst ernannten Gurus immer wieder vorfindet. Gerne schmähen die nämlich alles als "Klicki-Bunti, was eine grafische Oberfläche hat oder meinen, Firewallkonfigurationen müssen intrinsisch unverständlich sein.

Ich bin selbst großer Mutt-Fan (eine Art Googlemail mit grüner Schrift auf schwarzem Grund, liebe Kinder), aber nicht aus Gründen der Selbstkasteiung oder Askese, sondern weil der einfach die mächtigste Suche eingebaut hat, den ich bislang bei einem Mailreader gesehen habe. Aus ähnlichen Gründen setze ich auch Firewall-Builder ein statt selbst NETLINK-Meldungen an den Kernel zu verschicken und ich optimiere auch keinen Assemblercode von Hand. Und deshalb schätze ich auch durchdachte und einfach zu bedienende Security-Tools. Am liebsten direkt aus der Distribution installiert.