Heartbleed – ein Proof-of-Concept

Heartbleed hat echt der Teufel gesehen. Ehrlich. Den Bug zu schließen war ja noch recht stressfrei. Schließlich musste ich ja (nur) ca. zwei gute Dutzend Server updaten. Aber was mir echt Kopfschmerzen bereitet, ist das Tauschen/Erneuern der SSL-Zertifikate auf den Webservern.

Und weil das Erneuern schon nicht aufwendig genug war, müssen jetzt auch noch alle Zertifikate widerrufen werden.

Aber auch das stellt letztlich nicht sicher, ob die User nun einer Man-in-the-middle-Attacke entgehen können. Denn jeder Browser geht mit widerruften Zertifikaten anders um. Am schlimmsten ist da meiner Meinung nach Chrome. Der prüft das nämlich in der Standard-Einstellung gar nicht und warnt den Benutzer nicht.

Bleibt also nur zu hoffen, dass 1. niemand den privaten Schlüssel+Zertifikat stehlen konnte und 2. niemand bis zum regulären Ablauf der Zertifikate Man-in-the-middle-Attacken startet.

Für mich ist Heartbleed aber noch ein wenig mehr, als „nur“ ein Sicherheitsloch, ein Bug, der halt mal vorkommen kann. Es gehen ja auch Gerüchte um, dass die NSA den Entwickler bezahlt hat, um den Bug schon vor 2 Jahren einzubauen. Lassen wir das mal so stehen.

Viel schlimmer finde ich aber, dass damit doch bewiesen wurde, dass selbst OpenSource-Software eben nicht vor solchen Fehlern geschützt ist. Ja ja, es kann theoretisch jeder den Code einsehen. Aber das wird eben von zu wenigen getan und Fehler bleiben meist lange Zeit unentdeckt.

Was haben wir noch vor Wochen über Apple und ihren SSL-Bug gelacht und gespottet. Jetzt müssen wir das fairerweise über ein OpenSource-Produkt tun.

In meinen Augen ist nur eins sicher: nichts.

Egal welche Art von Software wir einsetzen, ob closed oder open source, wir können uns nie sicher sein, dass nicht ein „Fehler“ existiert, der unsere Daten offenlegt.

Bleibt nur eins: Vertrauen. In was – muss dann jeder für sich selbst entscheiden.

In diesem Sinne möchte ich euch zur Thematik passend noch folgenden Artikel ans Herz legen: „Heartbleed Exposes a Problem With Open Source, But It’s Not What You Think

Flattr this!