Beim OpenSSL-Projekt geht es derzeit in den Medien und Foren hoch her. War es ein Backdoor für die Geheimdienste oder doch nur ein blöder Bug. In diesem Artikel stelle ich die einzelnen Positionen in den Medien zusammen.
aktuelle Situation
Nachdem die am 8. April 2014 bekannt gewordene schwere Sicherheitslücke des OpenSSL-Projekts (genannt Heartbleed-Bug) behoben wurde, geht die durch die Linux Foundation finanzierte Analyse von OpenSSL weiter. Es wurden am 5. Juni 2014 7 weitere Sicherheitslücken behoben. Eine davon errecht wiederum Aufmerksamkeit: Die Lücke im DTLS-Code stammt vom gleichen Entwickler, der auch die Heartbleed-Lücke programmiert hat.
Es stellt sich daher zusehends die Frage, hat der Entwickler R. S. einfach einen Fehler begangen oder fand hier eine bewusste Implementierung eines Backdoors für Organisationen (wie NSA, BND, GCHQ und Co) mit dem technischen Wissen, wie diese ausgenutzt werden kann, statt. Im Netz findet dabei eine regelrechte Hexenjagd auf den Entwickler statt.
Hier habe ich einmal die Meinungen zusammengetragen, die für die zwei Varianten Bug oder Backdoor sprechen.
Positionen für Bug
Die ZDI (Zero Day Initiative von HP) sagt, dass der Entwickler R. S. nicht Schuld daran ist, sondern das das Konzept von Open-Source an dieser kritischen Softwarekomponente versagt hat. Die Code-Änderung wurde einfach durch gewunken, da sie in einem Bereich war, der für unkritisch empfunden wurde. Das Konzept der vielen Augen hat hier nicht gegriffen und es wird jetzt jeder Code, den der besagte Entwickler dem Projekt beigesteuert hat, genaue geprüft um weitere Fehler schnell zu entdecken („Blut ist im Wasser“).
Der eigentliche Entwickler hat dazu auch bereits ggü. der Presse bekannt gegeben, dass der Fehler aus seiner Sicht nur ein Versehen war. Auch dem Reviewer fiel es nicht auf. Er appeliert daran, dass mehr Leute zu Open-Source-Projekten beitragen, gerade wenn sie so wichtig sind wie OpenSSL.
It was not intended at all, especially since I have previously fixed OpenSSL bugs myself, and was trying to contribute to the project.
Weiter sagt er:
Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.
Das OpenSSL-Projekt wird von ihm umsonst gepflegt, obwohl es bereits für 80 Plattformen genutzt wird. OpenSSL wird derzeit von 13 Personen betreut.
Laut Fefe gibt es für einen derartigen Fehler bei einer derartig sicherheitskritischen Komponente, die er mit der Kritikalität eines Flugzeugs oder einem Atomkraftwerks vergleicht, keine Entschuldigung. Der Entwicklungsprozess muss grundlegend verändert werden, da jeder Bug bei einer solchen Software gleich gefixt werden muss unabhängig von der Risikostufe. Qualitätsstandards bei Open-Source sind schwierig durchzusetzen, da man einen Entwickler nicht mit Entlassung drohen kann.
Positionen für Backdoor
Für Alexander Benesch von recentr.com fällt das Urteil etwas anders aus:
Es ist nicht einfach nur so, dass Geheimdienste und Militärs die Infrastruktur des Internets im Laufe der Zeit infiltriert haben. Stattdessen schuf der militärisch-industrielle Komplex das Internet und gab es vordergründig an obskure Programmierer weiter. Dies war aber lediglich ein Weg, um die Spuren zu verwischen.
Demnach ist das Internet vom Militär deswegen an die Zivilbevölkerung weitergegeben worden, um ein wirksames Überwachungsinstrument zu haben. Er bringt auch Ben Laurie, der bei Google arbeitet, mit dem MI6 in Beziehung. Dieser hätte auch bei Apache Software Foundation seine Finger drin, in dem supersicheren Hosting-Anbieter “The Bunker”, bei FreeBMD und FreeBSD und er gehört zum Computerlabor der Cambridge-University.
Fefe meint wiederum, dass Dr. Stephen Henson, der den Code von R. S. gereviewt hat, nur 100 Meilen von Cheltenham (GCHQ-Sitz) entfernt wohnt. Weiterhin führt er aus:
Eine Sache noch. Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen.
Meine Meinung
Für mich ist das alles ein blöder Zufall, d.h. der Entwickler R. S. hat hier meiner Meinung ohne Vorsatz gehandelt und wollte keine Backdoor implementieren. Die Geheimdienste haben diesen Bärendienst gerne angenommen und die Lücke aktiv genutzt. Die Gefahr der Entdeckung und die Rufschädigung für den Entwickler, die bereits jetzt um sich greift, ist hier viel zu groß.
Wäre es eine andere Person ohne derartigen Hintergrund (keine Doppelidentität, Dissertation über das Thema, nachvollziehbarer Lebenslauf), würde ich Fefe zustimmen: von der Art ist es eine Backdoor (schmeckt danach). Wäre es ein Mitglied des Geheimdienstes, könnte der sich nach Einbringung der Sicherheitslücke (der Bug kam bereits vor 2 Jahren in die Software) schnell eine andere Identität beschaffen und wäre damit unauffindbar. Man könnte in einem solchen Fall keine Hexenjagd mehr in Gang setzen, da kein Opfer mehr zu finden ist.
Test auf Heartbleed-Lücke
Um seinen Webserver gegen die Lücke zu testen, empfiehlt heise.de folgende Webapps:
Zweiteres hat bei mir auf Anhieb schnelle Resultate gebracht.
Wie geht es weiter?
Die Linux Foundation hat ein Projekt namens Core Infrastructure Initiative vorgestellt, das derartige super GAUs in den kritischen Softwarekomponenten für das Internet zukünftig verhindern soll. Mit jährlich 1,2 Millionen Dollar sollen Entwickler und Kryptografie-Experten sich mit dem quelloffenen Code befassen und ihn sicherer machen. Diese finanzielle Unterstützung soll den Reviewprozess erheblich beschleunigen.
Ich bin daher zuversichtlich, dass durch die Entdeckung dieser Sicherheitslücke die großen kommerziellen Profiteure des Internets erkennen, dass ähnlich wie bei der Raspberry Pi Foundation immer ein Rückfluss der Gewinne in derartige Projekte erfolgen muss. Man sägt sonst am Ast auf dem man sitzt und das tut bekanntlich schnell weh!