News
11.04.2014, 08:29 Uhr
Heartbleed-Programmierer: «ein trivialer Fehler»
Der für die Sicherheitslücke verantwortliche Programmierer ist ein Deutscher. Erstmals äussert sich der T-Systems-Angestellte und gibt seinen Fehler zu.
Der verantwortliche Programmierer äussert sich erstmals zur Heartbleed-Sicherheitslücke, die Millionen von Menschen gefährdet
«Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen», erklärte der Programmierer aus Deutschland. Der Fehler an sich sei «ziemlich trivial» gewesen. Auch ein Prüfer aus Grossbritannien hatte den gravierenden Bug übersehen. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.
Hunderttausende Webseiten betroffen
Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Der fehlerhafte Code in OpenSSL bestand seit rund zwei Jahren. Durch die Lücke mit der Bezeichnung «Heartbleed» können Angreifer die Verschlüsselung aushebeln und an vermeintlich gesicherte Daten herankommen. Da sie auch die Schlüssel erbeuten können, wären alle möglichen Informationen betroffen. Wie man reagieren soll, sagt dieser Artikel.
Die fehlerhafte Software ist die OpenSLL-Bibliothek 1.0.1 bis 1.0.1f und OpenSSL 1.0.2 bis Beta1, die auf Linux-Servern eingesetzt werden. Es ist ein Implementierungs-Bug, kein Loch im Protokoll. Betroffen sind Linux-Server, die ihre Verschlüsselungen auf diesen SSL-Versionen einsetzen. Der Fehler betrifft damit Webseiten, Apps und Software, die mit Servern kommunizieren und diese Verschlüsselungstechniken verwenden. Dabei dürfen insbesondere Server nicht vergessen werden, die beispielsweise für Smartphone-Apps, Chat-Dienste (z. B. Jabber), Cloud-Speicher, Streaming-Dienste (z. B. Plex), Mail-Dienste (z. B. SMTP, POP, IMAP over SSL) und OpenVPN-Zugänge eingesetzt werden, sofern diese OpenSSL-Bibliotheken nutzen. Ebenso müssen Netzwerkgeräte wie Router und Switches berücksichtigt werden, die entsprechende WebGUIs anbieten. OpenSSL 1.0.1g ist die erste Version, in der die Lücke beseitigt wurde.
Was kann ein Angreifer tun?
Ein Angreifer, der die Schwachstelle ausnutzt, kann unerkannt Daten wie Passwörter, Logins, Cookies etc. in 64 KB grossen Datenstücken (mit dem Ping zwischen Client & Server) aus dem Server oder Client kopieren. Mit konzentrierten Angriffen können so in relativ kurzer Zeit ganze Arbeitsspeicher mit sensiblen Informationen, darunter auch das Private Verschlüsselungszertifikat, leergeräumt werden. Fällt das private Verschlüsselungszertifikat in die Hände eines Angreifers, kann die Datenverbindung zwischen Client und Server mitgelesen werden. Wie viele Daten von welchen Servern tatsächlich gestohlen wurden, weiss niemand und es wird sich wohl auch nie herausfinden lassen.
Kommentare
Es sind keine Kommentare vorhanden.