{"id":1252,"date":"2014-04-24T19:00:23","date_gmt":"2014-04-24T17:00:23","guid":{"rendered":"http:\/\/blog.patricksauer.net\/?p=1252"},"modified":"2014-04-24T19:09:03","modified_gmt":"2014-04-24T17:09:03","slug":"internet-sicherheit-und-openssls-heartbleed-keine-werbeanzeige","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/unkategorisiert\/internet-sicherheit-und-openssls-heartbleed-keine-werbeanzeige\/","title":{"rendered":"Internet-Sicherheit und OpenSSLs Heartbleed (Keine Werbeanzeige)"},"content":{"rendered":"

Keine Werbeanzeige und vom Original in der FAZ, Handelsblatt und ZEIT deutlich abweichend:<\/em><\/p>\n

Mein Name ist Klaus…<\/del> Mein Name ist Patrick Sauer. Ich bin Master of Science in Security Management, Diplom-Wirtschaftsinformatiker (FH), zertifizierter Sicherheitsspezialist (z.B. CISSP & OSCP) und werde dieses Jahr 30. Ich habe vor \u00fcber 10 Jahren w\u00e4hrend meiner Gymnasialzeit privat als Hobby C gelernt. Ich bin auch Gesch\u00e4ftsf\u00fchrer eines kleinen Beratungsunternehmens.<\/p>\n

Ich habe mir den problematischen Source Code von Heartbleed ange\u00adsehen. Ein Angreifer kann zuf\u00e4lligen Speicher auslesen, z.B. Passw\u00f6rter oder private kryptographische Schl\u00fcssel zu Zertifikaten. Eine Denial-of-Service Attacke \u00fcber Heartbleed halte ich f\u00fcr eher unwahrscheinlich und eine eventuelle DoS-Attacke ist nicht das eigentliche Problem, sondern der weitgehend unerkannte Abzug der kryptographischen Schl\u00fcssel. Dadurch ist es einem Angreifer m\u00f6glich den verschl\u00fcsselten Datenverkehr zu entschl\u00fcsseln, sofern keine Perfect Forward Secrecy eingesetzt wurde.<\/p>\n

Es gibt den Grundsatz: Alles was der Benutzer eingibt, muss sorgf\u00e4ltig gepr\u00fcft werden. Das sollten eigentlich alle Entwickler wissen. Das trifft nat\u00fcrlich auch f\u00fcr Entwickler von Webseiten zu, nur haben Entwickler von Webseiten und Entwickler von OpenSSL nichts miteinander zu tun. Eingabevalidierung ist nat\u00fcrlich auch vom \u00f6ffentlichen Netzwerk wichtig. Dem Entwickler von OpenSSL, der Heartbleed geschaffen hat, ist das sicherlich bewusst gewesen. Er hat einen Fehler gemacht. Fehler sind menschlich. Der Entwickler hat mittlerweile an einer deutschen Hochschule promoviert und man kann ihn sicherlich als \u00fcberm\u00e4\u00dfig intelligent bezeichnen. Leider begehen auch \u00fcberm\u00e4\u00dfig intelligente Menschen Fehler. Das ist die eine Seite.<\/p>\n

Wie kommt es, dass ein so hoch qualifizierter Entwickler an hochsensibler Sicherheits-Software arbeiten darf? Das ist ganz einfach zu beantworten. Es handelt sich um ein Open Source Projekt. Auch Unternehmen, die eigene SSL-Implementierungen verkaufen, setzen Open Source ein. Manche sogar auch OpenSSL. Manche Open Source Entwickler betreiben die Entwicklung als Hobby, manche sind minderj\u00e4hrig und andere bereits im Rentenalter. Andere entwickeln an Open Source und werden daf\u00fcr von Unternehmen bezahlt.<\/p>\n

Es gibt hervorragende Open-Source L\u00f6sungen. Manche weisen leider keine so hohe Qualit\u00e4t auf. Das gilt genauso f\u00fcr kommerzielle Software und auch f\u00fcr kommerzielle SSL-Implementierungen. Die wenigsten Entwickler sind unqualifizierte Bastler. Oftmals wird Open Source von einem Team gef\u00fchrt und es existieren eigene komplexe Mechanismen zur Qualit\u00e4tssicherung. Keine Qualit\u00e4tssicherung ist perfekt, genauso wenig wie es 100%ige Sicherheit gibt. Qualit\u00e4t ist eine andere Sache.<\/p>\n

Wenn man Software minderer Qualit\u00e4t einsetzt hat man ein Sicherheitsrisiko. Kann sein, muss aber nicht. Manche kommerzielle Software ist fehlerhaft und verursacht h\u00f6here Kosten. Genauso kann es bei Open Source sein.<\/p>\n

Manche Internet-Unter\u00adnehmen haben folgendes Gesch\u00e4ftsprinzip. Sie warten darauf, bis es in einem Open Source Projekt ein Sicherheitsproblem existiert, dass in Konkurrenz zu ihrer Software steht. Dann schalten sie in gro\u00dfen deutschen Zeitungen Werbung f\u00fcr ihr Produkt. In dieser Werbung reden sie die Konkurrenz schlecht. Nach diesem Prinzip k\u00f6nnen Unternehmen vielleicht gro\u00df werden, oder sie schrecken von der Nutzung ihrer Produkte ab. Selbst diese Unternehmen sollen OpenSSL einsetzen, ohne irgendwie die Qualit\u00e4t zu pr\u00fcfen. Unglaublich.<\/p>\n

Aus OpenSSL wurde jetzt Heartbleed entfernt. Wer wei\u00df, wie viele Probleme noch in OpenSSL schlummern? Gute Frage. Das gilt \u00fcbrigens f\u00fcr jede Software. Gerade bei kommerzieller Software, die nicht ver\u00f6ffentlicht wird, ist die Frage extrem schwer zu beantworten. Open Source Programme werden teilweise mit teuren Tools \u00fcberpr\u00fcft, deren Einsatz f\u00fcr die Projekte kostenlos ist. Warum? Weil es auch anst\u00e4ndige Unternehmer gibt.<\/p>\n

Die NSA wei\u00df schon was sicher ist. Die wollen selbst nicht gehackt oder ausspioniert werden. Deswegen arbeitet die NSA an Open Source Projekten wie zum Beispiel SELinux.<\/p>\n

Ich rate davon ab, als sicherheitskritische Software wenig verbreitete kommerzielle Software einzusetzen, deren Quelltext man nicht frei beziehen kann. Ich setzte und setze weiterhin OpenSSL ein. Fehler passieren jedem, Entwicklern wie CEOs. Manche entschuldigen sich \u00f6ffentlich, andere gar nicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Keine Werbeanzeige und vom Original in der FAZ, Handelsblatt und ZEIT deutlich abweichend: Mein Name ist Klaus… Mein Name ist Patrick Sauer. Ich bin Master of Science in Security Management, Diplom-Wirtschaftsinformatiker (FH), zertifizierter Sicherheitsspezialist (z.B. CISSP & OSCP) und werde dieses Jahr 30. Ich habe vor \u00fcber 10 Jahren w\u00e4hrend meiner Gymnasialzeit privat als Hobby … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[155,158,157],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1252","6":"format-standard","7":"category-unkategorisiert","8":"post_tag-heartbleed","9":"post_tag-hob-ssl","10":"post_tag-openssl"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1252"}],"version-history":[{"count":15,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1252\/revisions"}],"predecessor-version":[{"id":1267,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1252\/revisions\/1267"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}