Skip to content

NSABleed

Nachdem das Scheunentor von Sicherheitsloch namens Heartbleed inzwischen auch in runtergedummt im Radio auftaucht, stellt sich noch die Frage, seit wann die Schnüffler von der NSA das kannten und genutzt haben. Dazu gibt es zwei Wortmeldungen: Personen, die nicht namentlich aufgetreten sind, haben behauptet, die NSA hätte das Sicherheitsloch bereits seit zwei Jahren gekannt (was ziemlich genau der Zeit entspricht, die das Loch im Code war), und die NSA hat öffentlich verkündet, erst seit kurzem davon zu wissen. Wie glaubwürdig die NSA ist, darf jeder selbst vermuten, aber ich tippe darauf, dass die Wortmeldung sich noch als "least untruthfull" herausstellen wird, weil entweder eine eigenartige Bedeutung von "wissen" benötigt wird (zum Beispiel könnten die Schnüffler meinen, dass die Behörde von dem Loch erst "wusste", als alle Mitarbeiter darüber informiert waren, oder das "kürzlich" kann auch schon bummelig zwei Jahre her sein, oder irgendwas völlig anderes. Darauf zu vertrauen, dass NSA schon die Wahrheit sagt, halte ich jedenfalls für eine ganz schlechte Idee.

Mal ganz von den Geheimdiensten abgesehen, gibt es auch Hinweise, dass das Sicherheitsloch bereits im November letzten Jahres ausgenutzt wurde. Konkret hatte jemand in Logs von irgendwelchen Systemen, die IP-Datenverkehr mitschneiden nach der Bytefolge des Exploits gesucht, und da eben schon im November 2013 Spuren gefunden. Nachdem kaum jemand den kompletten Datenverkehr zu einer größeren Anzahl Server für lange Zeit aufheben dürfte, ist völlig unklar, wie oft solche Zugriffe vorgekommen sein mögen.

Und dann war da noch die eigenartige Behauptung eines Wolken-Anbieters, dass es unmöglich sei, über das Sicherheitsloch den privaten Schlüssel eines Servers zu ermitteln. Dummerweise haben relativ schnell zwei Personen unabhängig voneinander nachgewiesen, dass sie den privaten Schlüssel des dafür aufgesetzten Servers ermitteln konnten.

Außerdem gab es noch eine Wortmeldung des Autoren des defekten Code: Das sei ein Fehler gewesen, keine Absicht. Ob der Mann danach von Geheimdiensten eine Belohnung bekommen hätte, behauptet niemand. Andererseits würde es mich nicht überraschen, wenn er nicht wenigstens ein komisches Angebot bekommen haben sollte.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!