Eine kritische Sicherheitslücke, sorgt derzeit für Furore bei IT-Sicherheitsexperten. Der sogenannte Heartbleed-Bug (zu deutsch Herzbluten) betrifft nahezu jede mit der openSSL-Bibliothek verschlüsselte Website – selbst Google, Facebook, Youtube und co. Vor allem ist die Funktion für die Übertragung von sensiblen Informationen, wie Kreditkartendaten oder Passwörter verantwortlich für den “größten Bug der Internetgeschichte”. Laut der Website t3n.de sind 628 der meistbesuchten Websites betroffen.
Wer sind die Verantwortlichen?
Gefunden wurde die Sicherheitslücke von einem Google-Mitarbeiter und einem Sicherheitsforscher. Da es sich um eine Open-Source-Software handelt ist der Quellcode offen zugänglich, d.h. jeder kann nach Sicherheitslücken suchen oder auch Neues einfügen. Der neu eingereichte Code wird von einem Mitarbeiter anschließend auditiert und freigegeben. Dieser Vorgang wird natürlich dokumentiert – mit Namen des Programmierers und des Auditors. In diesem Fall war der Programmierer ein Mitarbeiter der T-Systems International GmbH und der Auditor war ein Brite.
Erstaunlich ist, dass der Programmierer in seiner Dissertation empfiehlt, die entsprechende Programmsequenz genau so nicht zu programmieren. Noch verdächtiger ist es, dass der britische Auditor 100 Meilen von Cheltenham (GCHQ-Sitz) entfernt wohnt. Alle Behauptungen sind aber natürlich nicht nachweisbar und vor allem Material für Verschwörungtheoriker.
Nun äußerte sich der Programmierer eine Gegendarstellung:
Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.
Wie wirkt sich die Lücke auf Benutzer aus?
Auf der Software-Plattform GitHub wurde schon ein Bugfix eingereicht. Dass das Problem nicht mehr besteht, kann man aber nicht sagen. Denn die Lücke wurde erstmals nach zwei Jahren entdeckt. Passwörter, Kreditkartendaten von Onlineshops oder ähnliche sensible Daten könnten schon bereits abgegriffen sein, da es nicht besonders schwer ist die Lücke auszunutzen. Vorallem kursieren schon die ersten Exploits in der Szene, die die Lücke angreifen. Zudem heißt ein Bugfix nicht, dass die Lücke auch auf den Websiten aufgehoben worden sind. Fazit: Jeder sollte Passwörter von Accounts, die in den letzten zwei Jahren eröffnet worden sind, ändern.
Auf der Website “Mashable” finden Sie eine Liste, mit Empfehlungen, welche Websites betroffen sein könnten.
Update: Mittlerweile findet man auch auf deutschen Websites Listen: http://www.giga.de/extra/sicherheit/news/heartbleed-bug-welche-passwoerter-bereits-geaendert-werden-sollten/
Zusätzliche sind Scanner aufgetaucht z.B. von McAfee, die Checks durchführen. Wie verlässlich die sind kann ich jetzt nicht beurteilen.
Pictures by Yuri Yu. Samoilov on Flickr.com
