13. April 2014

Heartbleed - Obama war's

Was stimmt hier nicht?

sueddeutsche.de 13. April 2014 15:31
Internet-Überwachung

Obama soll NSA Nutzung von Sicherheitslücken erlaubt haben

Die "Heartbleed"-Lücke sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und so vermeintlich geschützte Daten abgreifen können.


Hat er es, oder hat er es nicht? Solltologisches Orakeln hilft nicht. Jedenfalls nicht im Kampf gegen Sicherheitslücken. Wenn er es erlaubt hat, dann ist Dr. Robin Seggelmann fein raus, denn dann kann er ruhigen Gewissen zugeben, er habe das im Auftrag von Obama reinprogrammiert.

Die "Heartbleed"-Lücke sorgt erst mal für viel Gekrähe in den Medien, ansonsten für gar nichts. Auf einem Testserver konnte der geheime Schlüssel inzwischen 4 mal ausgeleitet werden. Das allerdings ist fatal genug, denn mit dem geheimen Schlüssel lassen sich sämtliche vorratsdatensgepeicherten Daten entschlüsseln, die mit diesem Schlüssel verschlüsselt wurden.

Wofür diese ominöse Lücke noch verantwortlich ist, darüber ist außerhalb der Medienorakel nichts bekannt.

Derjenige, der über den geheimen Schlüssel verfügt, kann, so er über die Ressourcen verfügt, eine Menge Unheil anrichten. Das hängt aber davon ab, wozu der Schlüssel im Einsatz war.

Ob geschützte Daten, außer dem Schlüssel, abgegriffen werden können, das ist bisher lediglich eine mediale Vermutung, die durch nichts belegt wird.

Dabei ist es so einfach.

1. Die betroffenen Betreiber, das sind die, die Open-SSL in Version 1.0.1 bis einschließlich 1.0.1f, sowie 1.0.2-beta bis einschließlich 1.0.2-beta1 im Einsatz hatten. Nur mal ganz nebenbei, Microsoft gehört nicht dazu.

2. Die Versionen sind zu patchen.

3. Der SSL-Schlüssel muß zwingend erneuert werden.

4. Der alte SSL-Schlüssel ist zu widerrufen. Das ist genau das, was man jetzt an der cloudflarechallenge prüfen kann,ob das Testzertifikat vom Browser als widerrufen angezeigt wird.



Was steht da? Ich darf die Seiten eigentlich gar nicht sehen, da das Zertifikat widerrufen wurde? Oha, da ist noch eine ganze Menge anderer Sicherheitskrempel im Internet kaputt.

Im firefox wird die Seite übrigens korrekt geblockt. Chrome zeigt sie an. Hirnriß hoch zehn, was soll das? Der Google-Browser hat eine fest verdrahtete Widerrufsliste, die erst mit dem nächsten Online-update auf einen halbwegs aktuellen Stand gebracht wird. In den Voreinstellungen ist die Online-Validierung abgeschaltet.



Nachdem der Haken die Online-Überprüfung der Zertifikate aktiviert, klappt es auch mit der Abweisung.



5. Nun muß der Serverbetreiber erst mal seine eigenen Paßwörter ändern und für Ordnung auf den Kisten sorgen.

6. Erst jetzt sind die Nutzer zu informieren, daß alle erforderlichen Schritte für die Absicherung der Systeme durchgeführt wurden, man möge jetzt als Nutzer de Dienste dies und jenes tun oder alles so lassen, wie es eh war.

7. Falls der eine oder andere technikaffine Betreiber solcher Dienste Zeit hatte, wird er möglicherweise geprüft haben, welche Schäden überhaupt entstanden sind oder aber entstanden sein könnten.

Ob und wie über diese Lücke große sicherheitsrelevante Datenmengen an interessierte Mitbürger ausgeleitet werden konnten und können, genau das ist die Rätselfrage, die es zu lösen gilt.

Sagen wir es mal höflicherweise so. SZ.de/dpa/odg hat schlichten Blödsinn aufgeschrieben, der sich ganz weit unten auf der nach unten offenen Blödheitsskala einordnen läßt.