Schlagwort: Heartbleed

Die deutsche Politik möchte OpenSSL unterstützen

und Fefe kriegt gleich einen Beiß­re­flex 🙂
Ich fin­de das erst­mal gut. Man muß sich bewußt sein: OpenS­SL ist ein Rück­grat des Inter­net. Markt­durch­drän­gung ver­gleich­bar mit der von Win­dows auf dem Desk­top — und ob die Alter­na­ti­ven (PolarS­SL, GnuTLS, NSS…) bes­ser oder siche­rer oder ver­ständ­li­cher sind — wer weiß.
Fakt ist: Ohne OpenS­SL gibt es kein Inter­net und damit auch kei­ne Inter­net-Wirt­schaft. Auch nicht die DTAG 😉
Das dürf­te der Grund für die Poli­tik sein, hier Hil­fe anzu­bie­ten.
Und nur weil Geld flie­ßen könn­te, wür­de das Pro­jekt noch lan­ge nicht ver­seucht sein, ins­be­son­de­re dann nicht, wenn das Geld für Audi­t­ing genutzt wür­de. Denn offen­sicht­lich war das feh­len­de Audi­t­ing der Grund für den Heart­bleed-GAU. Feh­ler pas­sie­ren. Und in einem 11-Mann-Team kennt man sich, da gibts kein wirk­li­ches Code-Review.

Ich habe frü­her für mei­ne Mut­ter Kor­rek­tur gele­sen. Obers­tes Gebot: Der Kor­rek­tur­le­ser darf nicht vom Fach sein.
Das wäre für Soft­ware-Audi­t­ing natür­lich eine blö­de Idee, aber immer­hin: die Audi­to­ren müs­sen extern sein.
Und wenn die deut­sche Poli­tik dafür Res­sour­cen zur Ver­fü­gung stel­len will: bit­te, gern. Bes­ser als ukrai­ni­sche Schlä­ger­ban­den aus­zu­bil­den alle­mal.

0

SSL-Gehampel

Das gan­ze SSL ist zu kom­pli­ziert, völ­lig unab­hän­gig von Heart­bleed. Fefe hat zumin­dest OpenS­SL nicht ver­stan­den, Aka­mai hat den eige­nen Patch nicht ver­stan­den.
Bei SSL Labs 100% zu bekom­men, scheint eine her­ku­li­sche Auf­ga­be zu sein (die 0% bei Cer­ti­fi­ca­te spie­len kei­ne Rol­le).
Cipher­sui­tes sind Geheim­wis­sen­schaft. RC4 kann man wegen BEAST nicht weg­wer­fen.
Die Welt wäre ein­fa­cher, wenn man sich auf 2 oder 3 Cipher­sui­tes eini­gen und den gan­zen Rest deut­lich ent­schla­cken wür­de.
Doch was wird gemacht? EV-Zer­ti­fi­ka­te wer­den erfun­den, um den Kun­den mehr Geld abzu­neh­men. Weil: Viel grün in Adreß­leis­te heißt: viel sicher m(

Wir wer­den alle ster­ben.

0

Heartbleed seit Monaten ausgenutzt?

Jeden­falls gibt es Behaup­tun­gen.
Ich glau­be das so nicht.
Der Admin müß­te über Mona­te (min­des­tens) SSL-Hand­shakes auf­ge­zeich­net haben. War­um soll­te man sowas tun? Ja, ich hab’ das auch schon mal gemacht — zu Debug­ging-Zwe­cken. Man debug­gt aber nicht über Mona­te.
Außer Geheim­diens­ten fällt mir spon­tan nie­mand ein, der sowas machen wür­de.

0

Opensource, 0-day-exploits

Der Heart­bleed-Bug ist ja nun in aller Mun­de. Und man muß schon sagen: Das ist ein GAU, ein rich­ti­ger. Es sind ja nicht „nur“ Web­ser­ver betrof­fen — was allein schon fürch­ter­lich wäre — son­dern auch Mail­ser­ver, Name­ser­ver; schlicht­weg die gesam­te Infra­struk­tur des Inter­nets.

Ich fra­ge mich nun: wie kom­mu­ni­ziert man sol­che Kata­stro­phen? Bei clo­sed Soft­ware wäre das rela­tiv ein­fach: Den Her­stel­ler ver­trau­lich infor­mie­ren, und nach ange­mes­se­ner Zeit die Sicher­heits­lü­cke ver­öf­fent­li­chen. Bei Open­so­ur­ce funk­tio­niert das aber nicht. Natür­lich muß zuerst der „Her­stel­ler“, auch upstream genannt, infor­miert wer­den. Doch was soll der machen? Einen Patch zur Ver­fü­gung stel­len, soweit ist das noch ein­fach. Doch aus dem Patch läßt sich natür­lich sofort der Bug rekon­stru­ie­ren und aus­nut­zen. Doch ohne Patch bleibt die Lücke offen, und mit Patch kann sie eben jeder­mann aus­nut­zen.
Im kon­kre­ten Fall blieb mir nur eins, wie wahr­schein­lich unzäh­li­gen Admins auch: Bei Sys­te­men, die die opens­sl-Biblio­thek des Dis­tri­bu­tors ver­wen­den, immer mal wie­der nach­se­hen, ob ein neu­es Paket ange­bo­ten wird; bei selbst­ge­bau­ten Pro­gram­men, die (dyna­misch) gegen ein selbst­ge­bau­tes opens­sl gelinkt sind, eben opens­sl neu über­set­zen und das Pro­gramm neu star­ten.
Das eine ist so unan­ge­nehm wie das ande­re.

Immer­hin: wir kön­nen es wenigs­tens. Man darf davon aus­ge­hen, daß da drau­ßen ganz vie­le auch Win­dows-Pro­gram­me sind, die sta­tisch gegen opens­sl gelinkt sind. Rou­ter-Zugän­ge. Und wer weiß was noch alles.

Eine Kata­stro­phe.

0
© Rainer Sokoll Frontier Theme