11. April 2014

Judith Horcherts Schreibfehler: Was stimmt hier nicht?

Fefe ist sauer, weil ihn eine Judith Horchert in der Hamburger Computerfachzeitschrift angeklagt hat.

Deutscher programmierte Heartbleed-Fehler

Diesen Artikel dürfen sie auf Spiegel-Online nicht kommentieren. Dann machen wir das eben hier. Ist uns herzlichst wurscht.

Frau Horchert, das sei für die Computerfreaks hier nur am Rande erwähnt, studierte Nordamerikawissenschaften, Politik und Germanistik und schreibt jetzt im Themenbereich Netzwelt. Das ganz konkrete Thema wiederum lautet jedoch Programmierung, doch das sind Feinheiten, die für die Hamburger keine Rolle spielen.

Gehen wir den Text der studierten Frau einmal Stück für Stück durch, um in die Nähe des fachlichen Gehalts zu gelangen, so fachlicher Gehalt verarbeitet wurde.

Es handelt sich mitnichten nur um eine Internet-Sicherheitslücke, sondern um eine Netzwerk-Lücke. Der Fehler ist auch dann vorhanden, wenn hunderte Computer ohne Internetanschluß vernetzt sind und diese Open-SSL Version zum Einsatz kommt. Mit Internet hat das dann nichts zu tun, mit Netzwerk schon.

Deutscher programmierte Heartbleed-Fehler

Niemand programmiert Fehler. Die Leute programmieren, weil es Spaß macht, damit Geld verdient werden kann, eine Problemlösung gefunden werden soll, blablabla, aber nicht, um Fehler zu programmieren. Das ist Blödsinn. Das hat fefe auch sehr schön erklärt.

Man programmiert und macht Fehler. Das ist alles. Ein Fehler wird gefunden und beseitigt, zumal richtig gutes Programmieren sich immer an der Grenze zwischen Genie und Wahnsinn langhangelt.

Im vorliegenden Fall wurde etwas programmiert. Aus der Sicht des heutigen Tages ist es ein Fehler im Programm. Aus der Sicht der Geheimdienste keiner, denn genau so sollte diese Datenübermittlung laufen. Sie funktioniert exakt so, wie erwartet. Alleine das zeigt das Dilemma. Politische Interessen können sich auch in Programmcode verstecken, unterliegen der Interpretation des Codes.

Oder anders gesagt, das Codeschnipsel hat fehlerfrei funktioniert. Insofern ist die von der Judith gewählte Überschrift einfach nur Bullenscheiße.

Die Sicherheitslücke Heartbleed zwingt Millionen Menschen zum Ändern ihrer Passwörter.

Und warum? Könnte die Judith uns das plausibel erklären?

Das BSI hat eine zweite Charge Email-Adressen und Paßwörter zugemailt bekommen, diesmal an die 80 Millionen. Die konnten uns damals nicht plausibel erklären, warum sie einen solchen Wind machen und versagen dieser Tage schon wieder.

Die Verschlüsselungsfunktion ... ist in vielen Fällen nicht sicher.

Frau Horchert, die Verschlüsselungsfunktion ist definitiv sicher, sofern nicht das Gegenteil bewiesen wird, denn die Verschlüsselungsfunktion ist von dem Programmcode erstmal nicht betroffen.

Ganz übel wird die Dame im denunziatorischen Teil des Artikels. Sie zitiert zwar fefe, unterläßt allerdings die Verlinkung.

"Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor."

Wenn Dr. Seggelmann, of Münster in Germany, Name nicht gekürzt wie bei Judith, wenn der im Jahr 2014 behauptet:

"In one of the new features, unfortunately, I missed validating a variable containing a length."

dann muß man das so nicht abkaufen, denn spätestens seit der Jahrtausendwende, wenn nicht schon weitaus früher, ist die Prüfung von Eingabedaten und Variablen Usus. Wer das nicht macht, handelt entweder ausschließlich für den Privatgebrauch oder fahrlässig. Kommt so eine Aussage von einem Doktor der Computerei, kann man sie ruhigen Gewissens als dreiste Lüge einstufen. Oder Dummheit, was dann wiederum den Doktortitel in Frage stellt. [update*]

Ganz fies der gleich nachfolgende Satz und die Verlinkung zur FAZ, daß es fefe in einem Artikel für die FAZ vorsichtiger formuliert. Das ist Hundekacke auf die heimischen Bildeschirme breitgetreten, denn netzaffine Menschen lesen fefe im Original. Die haben es gar nicht nötig, sich die FAZ reinzuziehen, da fefe in diesem Land nicht zensiert wird. Zumal er auf seinem Blog die Rohfassung veröffentlichte.

Tja, auch wenn wir Judiths Artikel gleich dreimal durchgeackert haben. Fachliche Substanz haben wir keine aufgefunden. Vorsichtig formuliert, es war wohl auch nicht ihr Schreibauftrag sondern ein redaktionell absichtlicher Schreibfehler.

Nun noch einige Bemerkungen zum Codeschnipsel an sich. Welche versionen von Open-SSL waren betroffen? Auf wieviel öffentlich zugänglichen Servern kamen die zum Einsatz? Auf wieviel von ihnen ist es egal, ob die Datenübertragung mit oder ohne SSL stattfindet? Wieviele der zwingend mit SSL ausgestatteten Computer wurden angegriffen, um Daten abzugreifen.

Will heißen, da es selbst heise nicht erklärt, welche Daten liegen denn nun wirklich in dem allokierten Bereich von 64K?

Möglicherweise wird momentan richtig viel Wind gemacht, wo keiner gebraucht wird, da der Schaden überschaubar gering ist.

Die relevanten Artikel zur Thematik Open-SSL würden die Computerexperten des Blogs auch eher bei Fefe nachlesen wollen denn bei einem Blatt Papier, in das man im Ernstfall nicht mal den Hering einwickeln würde, soll er zu Hause beim Auswickeln nicht so stinken.
-----
[update 11:45 Uhr]

Fefe erklärt es gerade noch einmal für jenen Teil der Menschheit, der sich ohne Anstrengung des Hirns bis zur Rente durchmogeln wollen.

Leute, es ist doch völlig wurscht, ob das jetzt eine Backdoor ist oder nicht. Wir müssen alle davon ausgehen, dass über dieses Ding alle unsere Passwörter rausgetragen wurden.

Die Zeit der Blümchenwiesen-Softwareentwicklung ist vorbei...


Im übrigen müssen wir nicht davon ausgehen, daß all unsere Paßwörter da rausgetragen wurden. Da widersprechen wir Fefe entschieden, solange nicht geklärt ist, welche Daten im Umfeld des Codes rasugetragen werden können und wie diese dann für weitere Angriffe genutzt werden. So ein Angriff kann ja auch mit Aufwand verbunden sein. Mit sehr goßem Aufwand. Dann muß man mit den Ressourcen haushalten. Kann sein, daß die Staubsaugermethode im konkreten Fall nicht funktioniert und für jeden Server eine eigener Staubsauger entwickelt werden muß. Dann sucht man sich die Ziele aus.