Herzbluten – OpenSSL Sicherheitsloch
Kein Aprilscherz war der am 1. April entdeckte Fehler im Verschlüsselungs-Framework OpenSSL. Leider!
Der Programmierer Robin Seggelmann hatte die Heartbeat-Erweiterung bereits in 2011 programmiert. Stephen N. Henson, einer der vier Haupt-Entwickler von OpenSSL hat Code vor der ofiziellen Veröffentlichung begutachtet. Beide haben einen fatalen Fehler übersehen: Die Lücke erlaubt einem Angreifer den Zugriff auf den geheimen, privaten Schlüssel eines Schlüsselpaars, der für die Verschlüsselung der Kommunikation, z.B. für Webseiten oder E-Mails oder für den Datentransport zwischen Servern benötigt wird.
Mit dem privaten Schlüssel ist es möglich die verschlüsselte Kommunikation zu entschlüsseln und darin enthaltene Informationen auszulesen, so z.B. Zugangsdaten und Passworte für alles, was man so im Internet treibt.
Die immensen Implikationen sind im ersten Moment gar nicht fassbar. „Bei einer Überprüfung der laut Alexa 10.000 meistbesuchten Websites erlaubten 628 Server am Dienstagnachmittag intime Einblicke in ihren Arbeitsspeicher. Darunter befinden sich allerhand prominente Namen wie etwa die HypoVereinsbank, Yahoo, Flickr, Kaspersky, der Zahlungsabwickler AfterBuy, Yahoo, Sparkasse.at, BitTorrent sowie viele mehr.“, liest man bei heise.de, und weiter „Am gestrigen Dienstag berichteten wir bereits über die Anfälligkeit von Adobe, Web.de, VeriSign und weiteren. Die Liste lässt sich beliebig fortsetzen.“
Dennoch: Open Source Software hat einen entscheidenden Vorteil: Probleme werden nicht verheimlicht und unter den Teppich gekehrt. Bei diesem Super-GAU der Informatik zeigt sich in besonderem Maße, wie sehr den Anbietern daran gelegen ist, das Problem rasch und ohne Panik zu beheben, vielleicht nicht zuletzt auch ein Randeffekt des Spähskandals der NSA & Co.
Nur eins fällt auf: Die Politik und Ihre Erfüllungsgehilfen haben, anders als bei einem „realen“ Katastrophenalarm offensichtlich keinen Plan. Ein treffender Kommentar findet sich (auch) im Blog der Süddeutschen Zeitung.
(Heartbleed logo by Leena Snidate / Codenomicon – free to use, rights waived via CC0)