FYI.

This story is over 5 years old.

Tech

Junger Deutscher hat Heartbleed-Sicherheitslücke an Silvester 2011 geschrieben

Die wohl größte Sicherheitslücke der Web-Geschichte geht auf einen jungen Deutschen zurück, der jetzt beschuldigt wird den Fehler absichtlich als Hintertür programmiert zu haben. Das wahre Problem ist aber die mangelnde Prüfung von Open-Source...
11.4.14

Ein junger deutscher Software-Entwickler hat den fehlerhaften Code in dem zentralen Sicherheitsprotokoll OpenSSL programmiert. Robin S. beschrieb den Bug in seiner ersten öffentlichen Erklärung als „trivialen Fehler" mit bedauerlicherweise „schwerwiegenden Auswirkungen".

Der Heartbleed-Bug scheint am Silvesterabend 2011 erstmals in OpenSSL eingegeben worden zu sein. Nachdem der Fehler auch bei einer Routineprüfung nicht aufgefallen ist, wurde er dann aus der Entwicklerversion in den offiziell verwendeten Code übertragen—und fungiert seitdem als kryptographischer Standard von diversen Web-Anwendungen wie z.B. Online-Banking, E-Mail-Anbietern, aber auch bei Hidden-Services im Deepweb.

Anzeige

Brucer Schneier hat das Ausmaß der Sicherheitslücke in seiner Analyse prägnant auf den Punkt gebracht: „Auf einer Skala von 1 bis 10, ist dies eine 11." Das Tor-Projekt warnte schon Anfang der Woche vor dem Bug, und empfahl beim Wunsch nach Privatsphäre und Sicherheit sich lieber für einige Tage vom Internet fernzuhalten—denn die Lücke betrifft vor allem auch diejenigen, die besonders auf ihre Web-Sicherheit achten. Eine serviceorientierte Liste mit Reaktionen aller großen Internet-Firmen hat Mashable zusammengeschustert.

Ratet mal, wo der arbeitet? Kommt ihr NIE drauf!

Unabhängig von der Frage wie vernünftig das unbezahlte Engagement für ein kompliziertes Open-Source-Protokoll wie OpenTLS wenige Stunden vor dem Jahreswechesel ist, werden seit kurzem sehr viel schwerwiegendere Anschuldigungen gegen Robin S. erhoben, der zu jener Zeit an der FH Münster promovierte: Der Hacker und Blogger Felix von Leitner warf die Frage auf, ob es sich bei der Sicherheitslücke um eine absichtlich eingebaute Hintertür handeln könnte:

„Wer hat eigentlich diesen Open-SSL-Code geschrieben, der alle eure Keys kompromittiert hat? Kann mal passieren, ich will nicht mit dem Finger auf den zeigen. […] Wo arbeitet der? Kommt ihr NIE drauf!"

Tatsächlich arbeitet Robert S. für die Telekom, wie der Link verrät. Allerdings stellte sich heraus, dass er erst einige Zeit nach dem folgenschweren Silvesterabend einen Job T-System annahm—eine Telekom-Tochter, die laut Wikileaks-Dokumenten in der Vergangenheit technisch mit dem BND kooperiert hat. Wie Fefe augenzwinkernd hinzufügte, lassen sich „echte Verschwörungstheoretiker natürlich von soetwas nicht aufhalten".

Anzeige

In einem Kommentar für die FAZ wiederholte von Leitner die Vermutung eines möglicherweise von Geheimdiensten instruierten Sabotage-Aktes. Etwas vorsichtiger formuliert zwar, aber seine ursprüngliche Einschätzung, dass „es die Konsistenz einer Backdoor hat", hält er weiterhin aufrecht. Spätestens seitdem läuft die Diskussion darum, ob es sich hier um einen unnötigen Online-Pranger handelt—oder ob wir es tatsächlich mit einer absichtlich eingeschleusten und gut getarnten Sicherheitslücke zu tun haben.

Gegenüber dem Spiegel und auch in einer Gegendarstellung auf Fefe's Blog wehrt sich Robin S. gegen die Anschuldigungen: „Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen."

Auf einer Skala von 1 bis 10, ist dies eine 11.

Der Bug im SSL-Protokoll erlaubt es Angreifern von einem Server mehr Informationen auszulesen als eigentlich vorgesehen, da der Server auf eine Prüfung der Länge seiner zurückgesendeten Daten verzichtet. Somit können Angreifer problemlos Daten aus dem hochsensiblen Bereich des Arbeitsspeicher eines Servers auslesen, in dem auch kryptographische Daten und Passwörter lagern.

Die aktuellen verschwörungstheoretischen Überlegungen sind dabei in der Post-Snowden-Welt genauso absehbar, wie die abwehrende Erklärung von Robin S., dass alles nur ein Versehen gewesen sei.

Unabhängig von den nicht zu klärenden Schuldfragen hält die Heartbleed-Sicherheitskrise einige wichtige nachhaltige Lektionen zu unserer Online-Sicherheit bereit:

  • Das Ideal absoluter Web-Sicherheit bleibt ein absolutes Märchen—auch mit Open-Source.
  • Eine Promotion mit dem inzwischen ironischen Titel „Strategien zur Sicherung von End-zu-End-Kommunikation", bewahrt nicht vor Programmierfehlern in unserer komplexen Web-Welt.
  • Open-Source-Protokolle wie OpenSSL sind gut. Mehr aktive Programmierer und Überprüfungen wären besser.
  • Die verteilte Programmiererarbeit von Open-Source kennt keine finalen Sündenböcke.
  • Google findet alles, auch den Fehler!
  • (Und ja: Dass wir auf Google angewiesen sind, um nach 27 Monaten auf einen solch gravierenden Bug zu stossen, ist nicht unbedingt ein gutes Zeichen.)