Permalink

1

SharePoCalypse – Herzschmerzen

SharePocalypse_10_Herzschmerzen

Kaum ist man mal ein paar Tage in den Ferien ereignet sich der Internet-Gau! Der Heartbleed Zero-Day Bug zeigte uns das Millionen von Webseiten über Monate angreifbar waren. Microsoft war nicht betroffen und zeigte an der BUILD 2014 wie so langsam all ihre Dienste und Technologien zusammenwachsen.

‚Show notes‘ und Links

Hearbleed Zero-Day

Was neben all den technischen Problemen und Meldungen an Heartbleed auffiel;  der Heartbleed Fehler war vermutlich der erste Bug der ein cooles Logo hatte. Vermutlich werden in Zukunft alle Fehler ein Logo haben, da man diese auch vermarkten kann. Wir werden sehen.

Über den Hearbleed Exploit wurde in den vergangen Tagen viel Berichtet. Hier zwei gute Erklärungen wie der Exploit zustande kommt und wie man ihn ausnutzte: xkcd.com und heise.de.

Wusste die NSA von diesem Exploit? Eine NSA-Sprecherin dementierte jede Beteiligung am „Heartbleed“-Bug. Weiters dementiert wurde, dass die NSA überhaupt über die Existenz des Bugs länger Bescheid wusste, als die breite Öffentlichkeit. Hätte man den „Heartbleed“-Bug nämlich gekannt, wäre die Öffentlichkeit von der NSA über diese Gefahr informiert worden, hieß es.
Trotzdem vermeldete Bloomberg das die NSA den Heartbleed Exlpoit bereits seit zwei Jahren benutzt.

Aussagen die diese Theorie stützen vermeldete auch der amerikanische Präsident. Gemäss NY-Times, hat Obama entschieden, dass wenn „“a clear national security or law enforcement need“ besteht, dass man Zero Day Exploits benutzen darf, statt dem Hersteller den Bug mitzuteilen. Was natürlich extrem kurzsichtig ist, da ja China, Russland und nicht staatliche Hacker diesen Bug vermutlich auch gefunden haben und ausnutzen.

Angesichts dessen, dass die NSA über eine ganze Armee von Mathematikern und Technikern verfügt, deren Kernaaufgabe es ist, genau solche Schwachstellen in der Verschlüsselung zu finden, ist es wenig glaubhaft das die NSA (und andere Geheimdienste) nichts davon wussten. Da aber OpenSSL auch von US-Behörden und Unternehmen massenhaft genützt wird, hat dieses Dementi vermutlich einen anderen Hintergrund. Wenn das Direktorat für Informationssicherheit IAD der NSA, dessen Kernaufgabe wiederum ist, die Kommunikation von US-Behörden und Unternehmen gegen andere Geheimdienste zu sichern, davon gewusst und nicht davor gewarnt hätte, wäre das einem krassen Verstoß gegen die Mission des IAD gleichgekommen.

Fazit:

  • Das Ideal absoluter Web-Sicherheit bleibt ein absolutes Märchen—auch mit Open-Source.
  • Open-Source-Protokolle wie OpenSSL sind gut. Mehr aktive Programmierer und Überprüfungen wären besser.
  • Die verteilte Programmiererarbeit von Open-Source kennt keine finalen Sündenböcke.
  • Google findet alles, auch den Fehler! (Und ja: Dass wir auf Google angewiesen sind, um nach 27 Monaten auf einen solch gravierenden Bug zu stossen, ist nicht unbedingt ein gutes Zeichen.)

Trotzdem hatte der Exploit auch positive Aspekte. Die Linux Foundation vermeldete, dass sie im Nachgang von Hearbleed die grossen Internet Firmen an einen Tisch zusammen brachte. Gemeinsam beschlossen Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware und die The Linux Foundation, wie man in Zukunft kritsiche Open Source Projekte unterstützen will.

EU-Richtlinie zur Vorratsdatenspeicherung ist ungültig

Nach dem Bundesverfassungsgericht hat der Europäische Gerichtshof (EUGH) geurteilt, dass die EU-Richtlinie zur Vorratsdatenspeicherung ungültig ist und „zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung“ führt. Das ist ein Teilsieg, denn jetzt verfällt die Verpflichtung Deutschlands, ein entsprechendes Gesetz vorzulegen.

Leider sind im Urteil Formulierungen vorhanden die eigenwillige Interpretationen zulassen: „Die Vorratsspeicherung solcher Daten kann somit als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden.“ Und ein paar Zeilen später: „Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen“. Das wird auf jeden Fall dazu führen das gegenläufige Kräfte probieren die Vorratsdatenspeicherung auf anderen Wegen zu installieren.

Treffender als Sascha Lobo kann man die aktuelle Situation rund um die Vorratsdatenspeicherung nicht beschreiben: „Die netzpolitischen Wiedergänger aber stehen immer wieder auf und auf und auf.“

 

Autor: Christoph Müller

Christoph Müller ist Consultant, Blogger und Podcaster rund ums Thema SharePoint, Digital Transformation, Cloud, Mobile und Netzpolitik.