NSA soll OpenSSL-Bug Heartbleed 2 Jahre lang ausgenutzt haben

Wie es aussieht hat ein Programmierfehler dafür gesorgt, dass die NSA zwei Jahre lang eine Backdoor auf Servern mit OpenSSL hatte und diese auch genutzt hat. Dass die katastrophale Sicherheitslücke keine absichtliche Backdoor war, sondern schlicht ein Programmierfehler, sagte auch der Ex-Professor von Robin Seggelmann (sorgte für den Fehler) heute im Wall Street Journal. Bloomberg berichtet jetzt über die Ausnutzung der Lücke durch die NSA.

Heartbleed_NSA

Seit mindestens zwei Jahren soll der Bug bei der NSA bekannt gewesen sein. Man entschied sich, die Lücke geheim zu halten, um selber Zugriff auf Daten zu haben. So konnten Passwörter und andere sensible Daten abgegriffen werden. Nun wird Kritik laut, betrifft der Heartbleed Bug rund zwei Drittel aller Webseiten. Nutzer waren vor der öffentlichen Entdeckung der Gefahr ausgesetzt, von anderen Geheimdiensten oder kriminellen Hackern ausspioniert zu werden.

Geheimdienste investieren Unsummen, um Sicherheitslücken zu finden. Besonders beliebt ist Open Source Protokolle, wie in diesem Fall OpenSSL. Open Source Code wird meist von einer kleinen Gruppe gepflegt, während die NSA mehr als 1.000 Experten auf dem Gebiet hat, um Lücken zu entdecken.

Was die NSA dann mit den Lücken anstellt, wird abgewägt. Wie groß ist die Gefahr für die Nutzer, wie groß der Nutzen für die NSA. So kommt es dann eben, dass so eine Lücke ausgenutzt wird, ohne andere zu informieren. Aus Sicht der NSA dürfte der Heartbleed Bug ein echter Glückstreffer gewesen sein.

Leider kommt auch diese Nachricht nicht mehr überraschend, wenn man einmal ein bisschen zurückschaut, was die NSA so für Möglichkeiten hat, um alles und jeden abzuhören. Während der Nutzen der Totalüberwachung immer noch fraglich ist, ist es schon ziemlich skrupellos, so einen Fehler auszunutzen, anstatt für ein bisschen mehr Sicherheit im Netz zu sorgen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. arschkrampen…

  2. Unter dem Gesichtspunkt ist das gut das CDU/SPD den NSA Untersuchungsausschuss so richtig blockieren. Zur Zeiten der Stasi wusste man wenigstens was man tuen konnte ohne überwacht zu werden. Die „guten“ Zeiten sind wohl vorbei, natürlich mit Beifall unser Bundeskanzlerin :/

  3. Gibt es irgendetwas, das die Amis NICHT machen? Man sollte die NSA zur Weltpolizeit ernnen, denn so benehmen die sich dort. Scheiß auf Interpol wenn wir die NSA haben!

  4. Und diese Heuchler machen das dann vorgeblich für die „Nationale Sicherheit“. Tatsächlich geht es nur um Macht, und auf Sicherheit scheißen sie, wie man hier sieht.

  5. War keine Backdoor? Nur ein Fehler? Zwei Jahre lang?
    Wer’s glaubt wird selig … Wenn EIN Mann in eine solch wichtige SW einen so groben „Fehler“ einbaut, dann ist das mit Sicherheit eine Auftragsarbeit für die NSA. Der gute Mann hat nun sicher ausgesorgt – oder wird bald per Unfall entsorgt.
    Die Amis – unsere Weltpolizei. Einfach nur zum Ko,,,,

    PS: OpenSSL ist ja OpenSource. Da kann jeder allen Code lesen. Bislang galt diese Peer Review als wichtiger Sicherheitsfaktor um sicherzustellen, dass eben gerade keine Backdoors enthalten sind. Aber entweder wird die SW nie angeschaut oder der „Fehler“ ist zu gut versteckt. Tja, meine Lieben, wie ist denn dies wohl bei TrueCrypt? Hat die NSA auch schon lange den Hauptschlüssel zu allen Inhalten? Ich frage mich sehr!

  6. natürlich haben die den ausgenutzt – das war mir ehrlich gesagt seit den ersten Meldungen klar – was anderes ist halt nicht drin in der NSA-Logik – wenn da schon ne offene Lücke rumliegt, warum dann liegen lassen?

  7. Soviel zu OpenSource & Backdoors 😉

    Sind also dort genauso möglich wie überall sonst auch & kein Schwein merkt es, obwohl ja angeblich Millionen Leute ständig auf den Code schauen 😀

  8. Klar hätte es den so auch bei Closed-Source geben können, nämlich vom Hersteller selbst 😉

  9. Was die NSA dann mit den Lücken anstellt, wird abgewägt. Wie groß ist die Gefahr für die Nutzer, wie groß der Nutzen für die NSA. So kommt es dann eben, dass so eine Lücke ausgenutzt wird, ohne andere zu informieren. Aus Sicht der NSA dürfte der Heartbleed Bug ein echter Glückstreffer gewesen sein.

    Und wo hast du diese Infos bitte her Sascha? Oder haste mal deine olle Glaskugel angeworfen und ganz tief ins Glas geschaut… Top Recherche-Arbeit.

  10. @Nadeshda: Schau dir den Fehler selber an, der Quellcode ist bei Github verfügbar. Mit nur einem kleinen bisschen Verständnis für C-Programmierung sieht man, dass der Fehler definitiv nicht versteckt war. Absichtlich eingebaut? Weiß ich nicht. Vergessener bounds check bei einem malloc. Doofer Fehler, fällt bei einem ausführlichen Code Review sofort auf (was er ja auch ist). Versteckt war er jedenfalls nicht.
    Warum er nicht früher aufgefallen ist? Tja, wann hast Du dich das letzte mal hingesetzt und an deinem freien Sonntagnachmittag einen Code-Review gemacht? Es gibt nicht so viele Leute die das tun, und die es machen, machen es oft freiwillig und ohne Bezahlung. Trotzdem ist mir das lieber als jede Closed Source Variante, bei der ich dem Ersteller vertrauen muss, dass er keine Sicherheitslücken einbaut. Da ist eine Kontrolle auf Quellcodeebene nämlich gar nicht möglich.

  11. Da musst du so oder so drauf vertrauen, solange du den Code nicht selbst Zeile für Zeile prüfst und für dich selbst kompilierst. Aber die Chance das Hacker in OpenSource Lücken finden ist exorbitant größer als bei ClosedSource.

  12. Zwei Jahre? Fällt in die Zeit von Snowden bei der NSA. Hätte er also wissen können; weiß ja sonst auch vieles. Hat er nichts gesagt, weil er gerade das mal nicht wusste? Oder weil die NSA es vielleicht gar nicht tat?

  13. @Lulu dir ist bekannt, dass er die Daten nur per crawler gesammelt hat und nach nur teilweiser Sichtung an Journalisten überreichte? (und dass er die Entscheidung über Veröffentlichungen eben jenen Journalisten überlässt)

  14. @Damian:
    Danke für den Fefe Link. Gut zu wissen, daß nur 1.0.1 betroffen war.
    Fefe selber macht auch einen guten Vorschlag mit dem Fond. Falls es sowas mal geben sollte, hoffe ich, daß Caschy darüber berichtet und man spenden kann 🙂

    @Peter:
    Klar kann in OpenSource auch ein Hacker leichter was finden, weil er eben auf den Code zugreifen kann. Was die Wahrscheinlichkeit exorbitant steigen läßt. Exorbitant sinkt aber auch die Möglichkeit in ClosedSource gewollte/zufällige Fehler zu finden. Und Berichte über gewollte gab es bei MS bereits. Jetzt frag ich Dich, welche exorbitante Möglichkeit ist exorbitanter als die andere? Leider passiert es zu oft und wird von den Medien vorgelebt: Nur eine Seite betrachten, die Wahrheit liegt aber im Pro und Contra abwiegen.

  15. Dadurch das am Ende auch nicht mehr Leute bei OpenSource auf den Code schauen, wie in einer Firma dürfte die Wahrscheinlichkeit etwa gleich groß sein gewollte/zufällige Fehler zu finden 😉

    Es besteht lediglich die Möglichkeit, die aber letztendlich nicht genutzt wird. Außer von den Subjekten, von denen man es lieber nicht möchte^^

    • Man kann es auch andersrum sehen:

      Jemand, der Open Source programmiert, will nichts verbergen.

      Und wenn jemand absichtlich bösartige Hintertüren in seinen Code einbaut, dann macht er das wohl kaum zu Open Source.

  16. Dieses ewige Genörgel gegen Open Source wird langsam öde. Wenn es jemandem sooooo wichtîg ist, dass die Software 100% hieb-und stichfest ist, dann soll er bei Gott seinen A…llerwertesten hochkriegen und den Code selber durchforsten. Da wäre die Zeit besser angelegt als nutzlose Kommentare zu verfassen und Programmierer zu kompromittieren. Wer OHNE Fehler ist, der werfe den ersten Stein …

  17. auch son Glücksfall ist ja die deutsche Techbloggerszene, die als Jubel€perser die neuesten $Foos durchs Netz prügeln. Völlig unkritisch und blauäugig. Und die drauf angesprochen, noch pissig reagieren.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.