Archiv

Archiv

Blog.Telekom

Andreas Schmidt

27 Kommentare

„Heartbleed“: Entwickler spricht über Fehler bei OpenSSL-Programmierung

Ein stilisiertes, blutendes Jerz auf blauem Untergrund

Ein blutendes Herz steht derzeit symbolisch für eine Schwachstelle bei der Verschlüsslung-Software „OpenSSL“, die von vielen Internet-Angeboten genutzt wird – unter anderem auch beim E-Mail-Dienst von T-Online. Was die Telekom auf ihren Servern unternommen hat, um die „Heartbleed“-Lücke schnell zu schließen, und was unsere Experten den Kunden beim Umgang mit E-Mail, Virenschutz und Passwörtern raten, das findet Ihr in einem aktuellen Beitrag aus unserem Sicherheits-Special.

Das Thema wird medial sehr breit diskutiert – einige Artikel sprechen von der gravierendsten Sicherheitslücke in der Geschichte des Internets. Eine gute Zusammenfassung der aktuellen Diskussion gibt es bei Spiegel Online. Im Spiegel-Artikel findet sich auch der Hinweis auf den Programmierer der fehlerhaften Software, der heute bei der Telekom arbeitet. Unser Kollege – der zwischenzeitlich sogar in den Dunst von Verschwörungstheorien geriet – hat uns seine Sicht auf die Dinge aufgeschrieben. Das wollen wir hier gern veröffentlichen. Aus Respekt vor seiner Privatsphäre verzichten wir allerdings darauf, ihn namentlich zu nennen:

„Ich habe im Rahmen eines Forschungsprojektes an der FH Münster die bekannte Verschlüsselungsbibliothek OpenSSL genutzt und die während meiner Arbeit entstandenen Bugfixes und neuen Features dem OpenSSL Projekt zur Verfügung gestellt. Nach Prüfung durch ein Mitglied des OpenSSL Entwicklungsteams wurden die jeweiligen Änderungen in den offiziellen Code übernommen. Bei einer Erweiterung, der TLS/DTLS Heartbeat Extension, unterlief mir der Fehler, eine Variable mit einer Längenangabe nicht auf einen sinnvollen Wert zu überprüfen. Dies ermöglichte den jetzt gefundenen und nach der Erweiterung benannten Heartbleed Bug. Leider hat auch der OpenSSL Entwickler, der den Review des Codes durchgeführt hat, die fehlende Überprüfung nicht bemerkt. Dadurch wurde der fehlerhafte Code in die Entwicklungsversion übernommen, aus der später die veröffentlichte Version wurde.

Da die Länge nicht auf Plausibilität geprüft wurde, konnte unter Angabe von eigentlich ungültigen Werten mehr Speicher als vorgesehen ausgelesen werden. Dadurch entstand eine Zugriffsmöglichkeit auf sicherheitsrelevante Daten, und ein eigentlich einfacher Fehler hat schwerwiegende Folgen.

Ob der jetzt bekannt gewordene und behobene Fehler durch Geheimdienste oder andere ausgenutzt wurde, ist schwer zu beurteilen. Um solche Fehler in Zukunft zu verhindern oder zumindest die Wahrscheinlichkeit zu minimieren, dass so schwerwiegende Probleme so lange unentdeckt bleiben, ist es wichtig, kritische und sicherheitsrelevante Software so oft wie möglich zu kontrollieren. Das ist ein großer Vorteil von Open Source Software, die für jeden frei verfügbar ist, der sich beteiligen möchte. Leider mangelt es aber gerade bei OpenSSL trotz sehr weiter Verbreitung und dem Einsatz durch Millionen von Nutzern beständig an ausreichender Unterstützung. Denn trotz der vielen Nutzer gibt es nur sehr wenige, die sich aktiv an dem Projekt beteiligen.“

FAQ