Menü
  • Startseite
  • Blog
  • Konzern

  • aktuelle Seite: „Heartbleed“: Entwickler spricht über Fehler bei OpenSSL-Programmierung

Archiv

Archiv

Blog.Telekom

Andreas Schmidt

27 Kommentare

„Heartbleed“: Entwickler spricht über Fehler bei OpenSSL-Programmierung

Ein stilisiertes, blutendes Jerz auf blauem Untergrund

Ein blutendes Herz steht derzeit symbolisch für eine Schwachstelle bei der Verschlüsslung-Software „OpenSSL“, die von vielen Internet-Angeboten genutzt wird – unter anderem auch beim E-Mail-Dienst von T-Online. Was die Telekom auf ihren Servern unternommen hat, um die „Heartbleed“-Lücke schnell zu schließen, und was unsere Experten den Kunden beim Umgang mit E-Mail, Virenschutz und Passwörtern raten, das findet Ihr in einem aktuellen Beitrag aus unserem Sicherheits-Special.

Das Thema wird medial sehr breit diskutiert – einige Artikel sprechen von der gravierendsten Sicherheitslücke in der Geschichte des Internets. Eine gute Zusammenfassung der aktuellen Diskussion gibt es bei Spiegel Online. Im Spiegel-Artikel findet sich auch der Hinweis auf den Programmierer der fehlerhaften Software, der heute bei der Telekom arbeitet. Unser Kollege – der zwischenzeitlich sogar in den Dunst von Verschwörungstheorien geriet – hat uns seine Sicht auf die Dinge aufgeschrieben. Das wollen wir hier gern veröffentlichen. Aus Respekt vor seiner Privatsphäre verzichten wir allerdings darauf, ihn namentlich zu nennen:

„Ich habe im Rahmen eines Forschungsprojektes an der FH Münster die bekannte Verschlüsselungsbibliothek OpenSSL genutzt und die während meiner Arbeit entstandenen Bugfixes und neuen Features dem OpenSSL Projekt zur Verfügung gestellt. Nach Prüfung durch ein Mitglied des OpenSSL Entwicklungsteams wurden die jeweiligen Änderungen in den offiziellen Code übernommen. Bei einer Erweiterung, der TLS/DTLS Heartbeat Extension, unterlief mir der Fehler, eine Variable mit einer Längenangabe nicht auf einen sinnvollen Wert zu überprüfen. Dies ermöglichte den jetzt gefundenen und nach der Erweiterung benannten Heartbleed Bug. Leider hat auch der OpenSSL Entwickler, der den Review des Codes durchgeführt hat, die fehlende Überprüfung nicht bemerkt. Dadurch wurde der fehlerhafte Code in die Entwicklungsversion übernommen, aus der später die veröffentlichte Version wurde.

Da die Länge nicht auf Plausibilität geprüft wurde, konnte unter Angabe von eigentlich ungültigen Werten mehr Speicher als vorgesehen ausgelesen werden. Dadurch entstand eine Zugriffsmöglichkeit auf sicherheitsrelevante Daten, und ein eigentlich einfacher Fehler hat schwerwiegende Folgen.

Ob der jetzt bekannt gewordene und behobene Fehler durch Geheimdienste oder andere ausgenutzt wurde, ist schwer zu beurteilen. Um solche Fehler in Zukunft zu verhindern oder zumindest die Wahrscheinlichkeit zu minimieren, dass so schwerwiegende Probleme so lange unentdeckt bleiben, ist es wichtig, kritische und sicherheitsrelevante Software so oft wie möglich zu kontrollieren. Das ist ein großer Vorteil von Open Source Software, die für jeden frei verfügbar ist, der sich beteiligen möchte. Leider mangelt es aber gerade bei OpenSSL trotz sehr weiter Verbreitung und dem Einsatz durch Millionen von Nutzern beständig an ausreichender Unterstützung. Denn trotz der vielen Nutzer gibt es nur sehr wenige, die sich aktiv an dem Projekt beteiligen.“

Andreas Schmidt

Profil und weitere Artikel

FAQ

Cookies und ähnliche Technologien

Wir setzen Cookies und ähnliche Technologien auf unserer Website ein, um Informationen auf Ihrem Endgerät zu speichern, auszulesen und weiterzuverarbeiten. Dadurch verbessern wir Ihr Erlebnis, analysieren den Traffic auf der Website und zeigen Ihnen Inhalte und Werbung, die für Sie interessant sind. Dafür werden website- und geräteübergreifend Nutzungsprofile erstellt. Auch unsere Partner nutzen diese Technologien.


Wenn Sie „Nur erforderliche“ wählen, akzeptieren Sie nur Cookies, die zum richtigen Funktionieren unserer Website nötig sind. „Alle akzeptieren“ bedeutet, dass Sie den Zugriff auf Informationen auf Ihrem Endgerät und die Verwendung aller Cookies zur Analyse und für Marketingzwecke durch Deutsche Telekom AG und unsere Partner erlauben. Ihre Daten könnten dann in Länder außerhalb der Europäischen Union übermittelt werden, wo wir kein Datenschutzniveau garantieren können, das dem der EU entspricht (siehe Art. 49 (1) a DSGVO). Unter „Einstellungen“ können Sie alles im Detail festlegen und Ihre Einwilligung jederzeit ändern.


Weitere Informationen finden Sie im Datenschutzhinweis und in der Partnerliste.