Heartbleed bug stellt die chaotische Natur des Internets unter die Lupe

Ein schwerwiegender Fehler, der diese Woche in weit verbreiteter Verschlüsselungssoftware aufgedeckt wurde, hat eine der dauerhaften – und erschreckenden – Realitäten des Internets aufgezeigt: Es ist von Natur aus chaotisch, wird von einer Vielzahl gebaut und ständig optimiert, ohne dass für alles verantwortlich ist.

Der Heartbleed-Bug, den Sicherheitsexperten am Montag erstmals öffentlich enthüllten, war ein Produkt der provisorischen Natur der Online-Welt. Während Benutzer beim Einkaufen, Bankgeschäft und bei der Kommunikation über das Internet die Logos großer, milliardenschwerer Unternehmen sehen, verlassen sich fast alle diese Unternehmen auf freie Software, die oft von Freiwilligen entwickelt und gewartet wird, um diese Dienste sicher zu machen.

Heartbleed, sagen Sicherheitsexperten, wurde in einem Codeabschnitt gespeichert, der vor zwei Jahren von einem Entwickler genehmigt wurde, der bei der Wartung von OpenSSL hilft, einer Mitte der 1990er Jahre entwickelten freien Software, die immer noch von Unternehmen und Regierungsbehörden fast überall verwendet wird.

Während das Ausmaß des durch den Fehler verursachten Schadens möglicherweise nie bekannt ist, sind die Möglichkeiten für Datendiebstahl enorm. Zumindest müssen viele Unternehmen und Regierungsbehörden ihre Verschlüsselungsschlüssel ersetzen, und Millionen von Benutzern müssen neue Passwörter auf Websites erstellen, auf denen sie das kleine Schlosssymbol gewohnt sind, das die Online-Verschlüsselung symbolisiert.

„Das war ein alter Code. Jeder hängt davon ab. Und ich denke, dass einfach jeder davon ausgegangen ist, dass jemand anderes damit zu tun hat“, sagte Christopher Soghoian, leitender Technologe der American Civil Liberties Union.

Die Gruppe, die sich tatsächlich damit befasste, bestand aus weniger als einem Dutzend Enthusiasten der Verschlüsselung, die über vier Kontinente verteilt waren. Viele haben sich noch nie persönlich kennengelernt. Ihr Hauptsitz – sofern überhaupt einer existiert – ist ein weitläufiges Homeoffice außerhalb von Frederick, Md., auf den Schultern des Sugarloaf Mountain, wo ein einzelner Mitarbeiter inmitten von Serverschränken und einer industrietauglichen Internetverbindung lebt und arbeitet.



Die Gesamtspenden an die Gruppe im letzten Jahr zur Unterstützung der Arbeit, die den Handel in Milliardenhöhe und unzählige persönliche Geheimnisse sicher durch das Internet fließen lässt: weniger als 2.000 US-Dollar. Geld verdient der Konzern auch mit Beratungstätigkeiten.

„Wenn man bedenkt, wie kompliziert und bedeutsam ein Stück Software es ist und wie kritisch es eine Infrastruktur ist, ist es irgendwie umwerfend“, sagte Steve Marquess, Präsident der OpenSSL Software Foundation und ehemaliger bundesstaatlicher Technologie-Auftragnehmer der von seinem Haus in Frederick-Gegend aus arbeitet. 'Das ist so ein dünner Faden.'

Das Internet entstand aus der Forschung des Verteidigungsministeriums in den späten 1960er Jahren, aber es gab nie einen Masterplan. Eine Gruppe baute den Webbrowser, eine andere Suchtechnologie, eine andere Zahlungsnetzwerke. Wieder andere stellten die Verschlüsselungstechnologie her, die nach den Enthüllungen des ehemaligen Auftragnehmers der National Security Agency, Edward Snowden, über die Macht und Verbreitung der Internetüberwachung zunehmend nachgefragt und hinterfragt wird.

Heartbleed, benannt nach einer OpenSSL-Funktion namens „Heartbeat“, wurde von einem entdeckt Google Forscher und separat von einem in Finnland ansässigen Sicherheitsunternehmen Codenomicon.

Der Fehler könnte es Hackern ermöglichen, online auf verschlüsselte Daten zuzugreifen, darunter Benutzernamen, Passwörter, Kreditkartennummern und Sozialversicherungsnummern. Einige Forscher glauben, dass Hacker möglicherweise sogar auf Verschlüsselungsschlüssel zugreifen konnten, die den Internetverkehr in großem Umfang entsperren können, selbst wenn die Daten jahrelang gespeichert wurden.

Unternehmen und Behörden bemühen sich seit Tagen, den Fehler durch Software-Updates zu beheben. Dutzende beliebter Websites, darunter Yahoo , haben sich diese Woche als anfällig für Datendiebstahl erwiesen. Da die Ausnutzung des Fehlers keine Spuren hinterlässt, ist es äußerst schwierig – und vielleicht sogar unmöglich – zu wissen, welche Seiten zwischen der Einführung des Fehlers im März 2012 und seiner Entdeckung zwei Jahre später infiltriert wurden.

Solche Probleme sollten bei „Open Source“-Software weniger wahrscheinlich sein, die von Gruppen produziert wird, die den gesamten Computercode online veröffentlichen, damit alle sehen und auf Fehler und potenzielle Verbesserungen prüfen können.

Open-Source-Befürworter behaupten oft, dass ihre Arbeit im Gegensatz zu Software, die von privaten Unternehmen wie z Microsoft , hat aufgrund der inhärenten Transparenz des Prozesses weniger Probleme. Der Glaube wird in einem in der Community beliebten Sprichwort festgehalten: „Wenn genug Augäpfel vorhanden sind, sind alle Fehler flach“ – was bedeutet, dass Fehler nicht besonders schwerwiegend sind und schnell behoben werden.

Sicherheitsexperten warnen jedoch seit Jahren davor, dass Open-Source-Software ernsthafte Probleme mit sich bringen kann, da die Freiwilligen und gemeinnützigen Gruppen, die sie oft erstellen, nicht die Zeit und das Know-how haben, ihre Arbeit ständig zu aktualisieren, insbesondere da Hacker immer häufiger und raffinierter werden.Während einige Open-Source-Projekte, wie das Ubuntu-Betriebssystem oder der Firefox-Browser, über Fundamente verfügen, die sie unterstützen, haben viele andere dies nicht. Einige private Unternehmen produzieren auch Open-Source-Software.

Im Jahr 2009 schrieb der Informatiker der Columbia University, Steve Bellovin, in einem Blogbeitrag, der sich auf Probleme in Firefox konzentrierte: „Wenn die Open-Source-Bewegung ihr Versprechen erfüllen soll, muss sie ihr fehlerhaftes Codeproblem lösen“.

Am Mittwoch sagte er per E-Mail: 'Es wurden einige Anstrengungen unternommen, um den Prozess zu verbessern, aber es hat nicht gereicht.'

Die OpenSSL Software Foundation ist das Produkt einer solchen Anstrengung. Marquess arbeitete für Bundesbehörden, die sich auf die Software verließen, als er merkte, wie schlecht sie unterstützt wurde. Er gründete die Stiftung im Jahr 2009, zunächst als Hobby, um das noch lockerer organisierte OpenSSL-Projekt, das der offizielle Verwalter des Codes war, finanziell zu unterstützen.

Die Stiftung arrangierte Beratungsverträge, bei denen Entwickler für die Arbeit an OpenSSL-Projekten bezahlt wurden, die von einzelnen Unternehmen oder Regierungsbehörden gesucht wurden.Dazu gehörten oft das Hinzufügen neuer Funktionen, von denen alle Benutzer von OpenSSL profitierten, sagte Marquess.Die Entwickler, die als Berater für die Stiftung arbeiteten, halfen auch als Freiwillige, den Open-Source-Code zu pflegen und zu verbessern – ein Prozess, der auch das Überprüfen, Genehmigen und gelegentliche Ablehnen von Verbesserungen umfasst, die von anderen vorgeschlagen wurden.

'Das sind Leute, die für sehr wenig Geld sehr hart arbeiten', sagte Matthew Green, ein Kryptographie-Experte der Johns Hopkins University, der versucht hat, der Stiftung zu helfen. „Yahoo und all diese Unternehmen ziehen all diesen Wert daraus. Wenn sie nur einen kleinen Bruchteil davon [an die Stiftung] geben würden, wären alle besser dran.“

Die Stiftung, ein gewinnorientiertes Unternehmen, verdiente im vergangenen Jahr weniger als eine Million US-Dollar, fast ausschließlich mit Beratungsverträgen. Seine direkten Spenden in Höhe von 2.000 US-Dollar, die in kleinen Schritten hauptsächlich von ausländischen Unterstützern der Verschlüsselung erhalten wurden, reichten bei weitem nicht aus, um eine tiefere Überarbeitung des zugrunde liegenden Codes einzuleiten.Es gab auch nicht genügend Fachkräfte oder Geld, um sich einem Sicherheitsaudit von OpenSSL zu unterziehen, einem akribischen Prozess, bei dem die Software auf Schwachstellen getestet wird.

'Das ist die Art von Dingen, für die niemand kommt und einen Haufen Geld anbietet', sagte Marquess. „Davon wird niemand profitieren. Es ist eine Art ‚Tragödie des Gemeinguts‘“, bezog sich auf einen 1968 erschienenen Essay des Ökonomen Garrett Hardin, der argumentierte, dass individuelles Eigeninteresse oft zur Vernachlässigung öffentlich wichtiger Ressourcen führt.