Heartbleed - ein Bug in der OpenSSL Komponente, die ein Heartbeat dazu bringt sehr sensible Informationen preiszugeben, zeigt, dass es zwar diverse Vorteile hat, OpenSource zu benutzen - aber leider auch einen grossen Nachteil.

 

Der Code Fix für das Problem ist relativ trivial. Genauer mit Kommentaren beschrieben ist es hier.


Die größten Probleme sind jetzt, dass

1) Keiner weiss ob schon private Schlüssel abgeriffen wurden. D.h. um auf der Sicheren Seite zu sein muss jeder Provider seine Schlüssel erneuern.

2) Keiner weiss in welcher Software das fehlerhafte OpenSSL eingesetzt wurde. Mittlerweile stecken in allen möglichen Geräten CPUs die sehr häufig der Kosten wegen Linux als Betriebssystem haben. Wer dabei Sicherheit gewährleisten muss benutzt OpenSSL. Linux ist mittlerweile so sehr verbreitet im Serverbereich bei Providern sowie auch in allen möglichen anderen Produkten wie z.B. Internetroutern. Es gibt also eine schiere Menge von Geräten, die - sofern sie OpenSSL benutzen - ein Sicherheitsrisiko sind.

3) Vor nicht allzu langer Zeit gab es ein Sicherheitsloch bei AVM/Firtz Routern. AVM hat das Loch schnell gestopft. AVM wird sicherlich bald neue Router Firmware Versionen bereitstellen, die dieses Sicherheitsloch gestopft haben. Die Frage ist, wie sich andere Routerhersteller und Internetprovider verhalten.

Als Analogie kann man sagen, dass es jetzt eine Menge Haustüren in Häusern gibt, die mit Linux gebaut wurden, die einem Angreifer bereitwillig auf Nachfrage mitteilen, wie der Haustürschlüssel genau auszusehen hat, um einen Nachschlüssel anzufertigen. Da keiner weiss ob ein Angreifer das von seiner Haustür schon erfahren hat muss jetzt ein jeder sein Haustürschloss austauschen.

 

Links

Forbes: What's Really Scary About Heartbleed

heise: So funktioniert der Heartbleed-Exploit

Golem: Programmierer bezeichnet Heartbleed als Versehen

The Sydney Morning Herald: Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately

 

Kommentar schreiben
Hinweis:
Die eMail ist versteckt und nicht öffentlich sichtbar. Sie wird benutzt um über neue Kommentare zu informieren.