In allen Zeitungen konnten wir lesen, dass es eine Lücke gab in der millionenfach genutzen OpenSSL Software welche zum Verschlüsseln von Internetdaten zwischen Empfänger (Client) und Sender (Server) verwendet wird. Diese Lücke entstand durch einen klassischen Programmierfehler, im Prinzip eine Kleinigkeit. Nun habe ich zweierlei „Probleme“ damit. Ersteres ist die Berichterstattung.
Auch diesmal wieder hatte man das Gefühl, dass hier jeder problemlos hätte Namen und Passworte absaugen können. Natürlich ist dem nicht so, es braucht Tools oder Geräte und einiges an Wissen um diese Lücke auszunutzen. So ganz simpel ist diese dann doch nicht anzuwenden. Was natürlich spannend ist – keiner kann den Zugriff nachher nachweisen, der geschieht nur lesend und auf einem korrekten Kanal. Auch die Daten die man da erhält muss man danach zuerst noch vernünftig auswerten – auch hier wären Laien eher überfordert.
Das zweite Problemchen das ich damit habe ist aber schwerwiegender. Auf der Welt gibt es Millionen von Hackern (sogenannte ethische Hacker, die dazu da sind Systeme zu validieren, damit Sie das können müssen sie sich gleicher Methoden bedienen wie „echte“ Hacker und eben die echten, die Schaden anrichten möchten), die tagtäglich Lücken in Systemen suchen. Nun kommt also vor zwei Jahren eine der wichtigsten Methoden zur Datenverschlüsselung mit einem Update daher – und mit einem Fehler. Aber natürlich hat genau hier die versammelte Truppe an Hackern nicht hingeschaut. ICH kann mir das schlicht nicht vorstellen. Der Fehler, der dort eingebaut wurde entspricht einem klassischen Muster von Sicherheitslücken (falsche „Mengenangaben“ wodurch mehr Daten versendet werden als vorgesehen), und keiner merkt etwas.
Es gehört vielleicht ein bisschen zu viel Verschwörungstheorie mit dazu, aber dass das niemand gemerkt hat über zwei Jahre kann eigentlich nicht sein. Einige Tools am Markt würden auf der Client-Seite einen solchen Missmatch sogar aufdecken, aber alle haben weg gesehen. Spontan könnte ich mir vorstellen dass das Interesse diesen Bug geheim zu halten in Hackerkreisen gross genug war, um den auch wirklich geheim zu halten. Aber auch das tönt halt irgendwie nicht allzu wahrscheinlich – irgend einer hätte sicher mal gepetzt. Dass die NSA innerhalb von zwei Stunden dementiert etwas davon gewusst zu haben – dazu kann man jetzt auch denken was man will.
Solche Lücken entstehen sowohl bei Client- wie auch Serversystemen immer wieder und bleiben dort auch oft lange unentdeckt. Sehr selten allerdings bleiben Sie lange unentdeckt, wenn es sich wirklich um für die Sicherheit der Systeme relevante Dinge handelt. Hinzu kommt, dass namhafte Hersteller auf dieser Technik vertrauen – und auch die haben nichts bemerkt – unglaublich und auf das „aber wahr“ verzichte ich, weil ich einfach nicht sicher bin. Dass mal bei Microsoft eine Kontrolle nicht funktioniert und Software mit Fehlern veröffentlicht wird, ok, das kommt vor. Auch kann es vorkommen, dass die Community um OpenSSL mal einen Fehler veröffentlicht, dort machen das alle ohne Bezahlung in Fronarbeit. Aber dass alle grossen Firmen ohne echte Prüfung implementieren…..
Massnahmen jetzt – ich tu wohl mehr oder weniger gar nichts. Vielleicht ändere ich an denen Stellen, an denen ich das weiss die Passworte – aber an wie vielen Orten habe ich mich schon mal registriert ohne das heute noch zu wissen……! Auf jeden Fall werden meine Passworte auf irgend welchen Servern liegen bleiben – und da könnten sich unter Umständen auch Administratoren bedienen. Aber ja, als der Sicherheit zugeneigter IT Benutzer werde ich dort wo ich es weiss die Passworte ändern.
Fazit: Eine höhere Macht hat diesen Fehler absichtlich gestreut und alle relevanten Kommunikatoren hinter sich gebracht! Ich gebe zu, auch daran glauben ich nicht, aber daran, dass keiner was bemerkt haben will auch nicht. Einmal mehr zeigt sich, wenn man im Internet mit dabei sein will ist es am besten man akzeptiert dass andere „mitlesen“ können und überlegt sich das jeweils wenn man Daten übermittelt. Einkäufe über das Internet – eines der Geschäftsfelder die von Heartbleed wohl am stärksten betroffen waren – hat offenbar mehr Gefahren als wir annehmen. Wenn ich aber schaue, wie viele Probleme ich damit hatte in den vergangenen Jahren kann ich mit dem Risiko gut leben.
Mein digitales Leben..... 