Wie kam es zum Heartbleed OpenSSL-Datenverschlüsselungsfehler?

Am 7. April 2014 erfuhr die Welt von der möglicherweise schwerwiegendsten Sicherheitslücke in der Geschichte des Internets. Es heißt Heartbleed.

Gleichzeitig entdeckt von Neel Mehta, einem Sicherheitsforscher bei Google und einem finnischen Sicherheitsunternehmen Codenomicon, der Fehler, gefährdet ein Sicherheitsprotokoll, das häufig von Geräten und Websites verwendet wird weltweit. Heartbleed ermöglicht es einem Hacker, Daten abzugreifen aus dem Gedächtnis – einschließlich Passwörtern, Bankkontonummern und allem anderen, was sich darin befindet.

Aufgrund der Schwere des Fehlers fragten sich viele, wie es dazu kommen konnte. OpenSSL, das Sicherheitsprotokoll, in dem der Fehler festgestellt wurde, wird weltweit verwendet. Es wird nicht nur in Servern, sondern auch in Routern und sogar einigen Android-Smartphones verwendet. Man könnte meinen, dass irgendein Verantwortlicher ein Team von Sicherheitsforschern hat, die den Code noch einmal überprüfen, aber in Wahrheit wird OpenSSL von einer kleinen Gruppe verwaltet, die hauptsächlich aus Freiwilligen besteht.

Öffnung für OpenSSL

OpenSSL rühmt sich bereits im Namen seines Open-Source-Ursprungs. Das 1998 gegründete Projekt wurde mit dem Ziel ins Leben gerufen, eine Reihe kostenloser Verschlüsselungstools für Internetserver bereitzustellen. Das war ein wichtiges Ziel; Verschlüsselung ist von entscheidender Bedeutung und weit verbreitet. Um sicherzustellen, dass er so schnell wie möglich übernommen wird, war ein kostenloser Standard erforderlich. Das Projekt war äußerst erfolgreich und entwickelte sich schnell zu einem der wichtigsten Sicherheitstools im Internet.

Der Erfolg führte jedoch weder zu Expansion noch zu Gewinnen. OpenSSL generiert Einnahmen nur durch Supportverträge, die den Zugang zur Fehlerbehebung und Beratung durch die Organisation selbst ermöglichen.

Dies führt zu einem vorhersehbar kleinen Personalbestand. Das „Kernteam“ besteht nur aus vier Personen, und das Entwicklungsteam fügt der Liste sieben weitere Namen hinzu. Das sind insgesamt nur 11 Personen, die meisten davon ehrenamtlich, die für einen kritischen Verschlüsselungsstandard verantwortlich sind. Nur einer von ihnen, Dr. Stephen Hanson, konzentriert sich ausschließlich auf OpenSSL. Alle anderen haben einen anderen Vollzeitjob.

Steve Marquess, der das Geld der Organisation verwaltet, hat es am besten ausgedrückt. „Das Geheimnis besteht nicht darin, dass ein paar überarbeitete Freiwillige den Fehler übersehen haben; Das Rätsel ist, warum es nicht häufiger passiert ist.“

Es wurden Fehler gemacht

Darauf läuft die ganze Krise hinaus: ein Fehler. Der Fehler wurde von Robin Seggelmann eingeführt, einem deutschen Freiwilligen, der an einer OpenSSL-Erweiterung namens Heartbeat arbeitet. Er reichte den Code am Silvesterabend 2011 ein und er durchlief anschließend den Überprüfungsprozess. Heartbleed existiert, der Öffentlichkeit unbekannt, seit über zwei Jahren.

Andere Mitglieder des Projekts überprüfen den eingereichten Code während der Überprüfung noch einmal, es passieren jedoch Fehler, sodass es kaum verwunderlich ist, dass irgendwann ein Fehler durchschlüpft. Sogar milliardenschwere Unternehmen wie Microsoft und Cisco werden von zahlreichen peinlichen Exploits heimgesucht.

Das Problem ergibt sich aus der Speicherzuweisung entsprechend einem Wert, der durch eine Anfrage definiert werden kann. Wenn der Benutzer eine gültige Eingabe macht, funktioniert die Funktion wie vorgesehen. Wenn jedoch eine ungültige Anfrage gestellt wird, löscht der Code einen Teil des Speicherinhalts, einschließlich der Informationen, die eigentlich sicher und verschlüsselt sein sollten. Dieser Webcomic erklärt auch Heartbleed, falls Sie eine Visualisierung als hilfreich erachten.

Einige Softwareentwickler glauben das Das Vorhandensein des Fehlers wirft Fragen zur Sicherheit von C auf, der Code, in dem die Heartbeat-Erweiterung geschrieben wurde. Obwohl C beliebt ist, handelt es sich um eine komplexe Sprache, die viele Möglichkeiten für Fehler bei der Speicherverwaltung und der Verarbeitung von Werten bietet. Ein Fehler in einer anderen Open-Source-SSL-Implementierung, GnuTLS, erschien einen Monat vor Heartbleed und wurde ebenfalls in C geschrieben. Dieser Käfer war noch älter; Der dafür verantwortliche Code wurde 2005 hinzugefügt.

Was ist der nächste Schritt?

Letztendlich ist menschliches Versagen für Heartbleed verantwortlich, aber die Schuld liegt nicht allein auf den Schultern eines einzelnen Programmierers. OpenSSL ist eine freie Software, die von Fortune-500-Unternehmen, Regierungen und sogar Militärorganisationen verwendet wird, doch diese Organisationen stellen fast nie Geld oder Arbeitskräfte für das Projekt bereit.

Auch die Welt muss aus diesem Fehler lernen. Die Nutzung eines Open-Source-Projekts, ohne einen Beitrag dazu zu leisten, ist auf lange Sicht ein Rezept für eine Katastrophe – insbesondere, wenn das Projekt ein kritischer Teil der Netzwerkinfrastruktur ist. Die Sicherheit des Internets sollte nicht von einer Handvoll Freiwilliger aufrechterhalten werden, die ihre Namen nur dann in den Nachrichten finden, wenn etwas schief geht.

Empfehlungen der Redaktion

• Ransomware-Angriffe haben massiv zugenommen. So bleiben Sie auf der sicheren Seite
• Reddit wurde gehackt – hier erfahren Sie, wie Sie 2FA zum Schutz Ihres Kontos einrichten
• SpaceX erreicht 100.000 Starlink-Kunden. So melden Sie sich an
• Ihr Dell-Laptop weist möglicherweise eine Sicherheitslücke auf. Hier erfahren Sie, wie Sie das Problem beheben können.
• Was ist ein DNS-Server? So stellt das Internet Ihre Favoriten bereit

Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.