NSA (National Security Agency) war angeblich seit mindestens zwei Jahren über den Heartbleed Bug im Bilde und hat ihn ausgenutzt

Kein Kommentar Autor: Jürgen (jdo)

Heartbleed Logo 150x150Security-Experte Bruce Schneier sagte: “Von einer Skala von Eins bis Zehn ist Heartbleed eine Elf.”. Außerdem ist er sich nicht sicher, ob der Fehler mit Absicht oder aus Versehen im OpenSSL-Code gelandet ist. Er glaubt aber, dass letzteres der Fall ist.

Um was es beim Heartbleed Bug geht, braucht man nicht mehr weiter zu erklären. Es ist wahrscheinlich der einzige Bug, dem man einen eigene Website spendiert hat und Millionen an Websites (SSL/TLS) sind davon betroffen. Es ist der ultimative Alptraum und die NSA wusste laut Bloomberg schon mindestens zwei Jahre davon und hat das natürlich auch aktiv für Datensammelei ausgenutzt. Angeblich haben das zwei Personen, die mit der Sache vertraut sind, zugegeben. Dass die NSA schnüffelt, wo es nur geht, ist auch kein Geheimnis mehr. Durch das Ausnutzen des Heartbleed Bugs konnte die NSA Passwörter, sensible Daten und weiß der Geier was noch alles stehlen … ich schneide mir morgen einen Teil meines großen Zehs ab, um meine Schuhgröße zu verändern – nur um auf Nummer Sicher zu gehen.

Die NSA hat natürlich schön die Klappe gehalten – warum sollte sie sich auch selbst den Hahn abdrehen? Genau darum geht es in einer Debatte schon länger, was eigentlich die Aufgabe der Regierungs-Computer-Experten ist. Sollten sie Anwender nicht auch vor Sicherheitslücken und IT-Security-Bedrohungen schützen? Die Krux an der Sache ist: Man weiß nicht, ob Cyberkriminelle auch von dem Fehler gewusst und diesen aktiv ausgenutzt haben. Durch das Stillschweigen der NSA haben die Regierungs-Schnüffler billigend in Kauf genommen, dass böswillige Hacker unerkannt ihr Schindluder treiben können – völlig unerkannt und ohne irgendwelche Spuren zu hinterlassen.

Ich bin mir absolut sicher, dass man die NSA von Seiten der Security-Szene verbal kreuzigen wird und das völlig zurecht. Normale Kritik wird es da nicht mehr hageln – das wird ein Tornado. Ist die USA auch nicht dafür bekannt, alles und jeden zu verklagen? Vielleicht finden sich ja einige Sponsoren, die die NSA wegen Fahrlässigkeit in dieser Sache vor den Kadi ziehen – OK, man müsste beweisen können, dass sie es wirklich gewusst haben. Bloomberg schreibt aber, dass man seitens der NSA einen Kommentar verweigert – das sagt eigentlich alles.

Update: Die NSA dementiert, von Heartbleed gewusst zu haben. Man habe mit Veröffentlichung des Fehlers davon erfahren. Hätte man von dem Fehler gewusst, hätte man das der OpenSSL-Community mitgeteilt. Man setze selbst OpenSSL für Verschlüsselung ein und sei somit ebenfalls von diesem Fehler betroffen gewesen.

Alle sind derzeitig fleißig am Patchen und bei den Zertifizierungs-Stellen glühen die Drähte. Zunächst müssen aber erst mal alle aktualisieren, die OpenSSL 1.0.1 bis 1.0.1f einsetzen. Die Entwickler von OpenSSL haben den Heartbleed Bug mit der Ausgabe von OpenSSL 1.0.1g geschlossen. Alternativ könne man den Quell-Code selbst kompilieren und dabei den Parameter -DOPENSSL_NO_HEARTBEATS verwenden. Das deaktiviert die TLS-Heartbeat-Erweiterung, die für den Heartbleed Bug verantwortlich ist.

P.S: Hier kann man übrigens testen, ob eine Website anfällig ist oder nicht. Bei Mashable gibt es eine Übersicht zu den bekanntesten Seiten und Anweisungen, ob man auf der entsprechenden Website sein Passwort ändern sollte oder nicht.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.