Ein Jahr nach Heartbleed
Schwachstelle Heartbleed: Was wir aus einem Jahr Sicherheitslücke gelernt haben – oder auch nicht
Der "Heartbleed Bug" war mehr als eine Sicherheitslücke zum Auslesen von Passwörtern
Von Yuval Ben-Itzhak, Chief Technology Officer bei AVG Technologies
(17.04.15) - Rund ein Jahr ist es her, seitdem Heartbleed das erste Mal die IT-Welt bewegt hat. Ein Jahr, seitdem der Bug das Herz von Open SSL gebrochen und als schwerwiegender Programmfehler in die Geschichte eingegangen ist. Ein Fehler, der das Internet und die IT-Branche für immer verändert hat. Doch hat Heartbleed das tatsächlich?
Im Frühling 2014 wurde bekannt, dass OpenSSL angreifbar ist. Die verschlüsselte Übertragung von zahllosen Webseiten war dadurch schlagartig unsicher, Angreifer konnten persönliche Daten, Kennwörter und finanzielle Anmeldeinformationen stehlen. Während diese Entdeckung für Security-Anbieter nicht wirklich überraschend war – denn vollständig sichere Codes gibt es kaum – lag der Schock vielmehr im Ausmaß des Schadens: Rund 60 Prozent des Internets waren von Heartbleed bedroht.
Jetzt, ein Jahr später, würde ich nichts lieber sagen, als dass wir unsere Lektion von Heartbleed gelernt haben. Doch so einfach ist es nicht. Öffentliches Bewusstsein bleibt eines der wichtigsten Themen, wenn es um Internetsicherheit geht. In Bezug auf Heartbleed scheint es nicht vorhanden zu sein. Wie eine Studie des Sicherheitsentwicklers Dashlane zeigt, haben 86 Prozent der Amerikaner noch nie von Heartbleed gehört. Ich bezweifle, dass es im Rest der Welt anders aussieht. Hinzu kommen weitere Schwachstellen von OpenSSL, die im Laufe der vergangenen Monate zu Tage getreten sind. Auch wenn jede entdeckte Schwachstelle behoben wird, zeigt es, dass noch viel Arbeit zu tun ist. Das gilt praktisch für jede Software.
Open Source wird als gängiges Instrument der IT-Branche in absehbarer Zeit nicht einfach vom Markt verschwinden. Schwachstellen wie Heartbleed zeigen jedoch, dass es Risiken gibt. Wir alle sind verantwortlich dafür, die Systeme zu schützen, auf die wir uns verlassen. Deshalb müssen besonders wir als IT-Branche wachsam bleiben und die Codes, die wir für unsere Produkte und Services nutzen, konsequent testen und scannen. Nur so können wir die Zukunft der Branche sichern.
Warum wurde seit Heartbleed so wenig für die Sicherheit von OpenSSL und anderen Open Source Systemen getan?
Meiner Meinung nach liegt die Herausforderung in der Natur von Open Source Software. OpenSSL ist unglaublich hilfreich und wurde deshalb weltweit eingesetzt. Doch wie viele von uns bezahlen dafür oder spenden Zeit oder Geld, um es sicher und funktional zu halten? Kaum jemand.
Das OpenSSL Projekt macht einen fantastischen Job, Schwachstellen zu finden und zu schließen. Für eine wirkliche Internetsicherheit müssen wir alle mehr investieren. Momentan liegt die weltweite Online-Sicherheit in den Händen einer weniger Entwickler – das reicht nicht. Es liegt in der Verantwortung von uns allen, das Internet sicher zu machen. Beispielsweise so:
Open Source ist genau so wenig fehlerfrei wie anderer Code. Nach meiner Erfahrung kommt auf 10.000 Zeilen Code mindestens eine Schwachstelle. Führen Sie also eigene Kontrollen durch und wenden Sie gründliche Test- und Scan-Verfahren an. Stehen keine Testmöglichkeiten zur Verfügung, so richten Sie sich ein Verfahren ein, das Ihren Open Source Code vor Schäden absichert, bevor Sie ein neues Projekt starten.
Wenn Sie Schwachstellen finden, sollten Sie diese mit der Öffentlichkeit teilen. Auf diese Weise bekommen Sie einerseits Feedback oder Hilfestellungen, andererseits schaffen Sie so ein Bewusstsein bei anderen. Machen sich die Nutzer gegenseitig auf Probleme aufmerksam und versuchen diese gemeinsam als Community zu lösen, wird Open Source auch weiterhin erfolgreich sein. Dies hilft zudem dabei, den Missbrauch von Schwachstellen durch Kriminelle zu vereiteln.
Falls Sie es nicht selbst durchführen können, dann suchen Sie sich einen geeigneten Anbieter für Schwachstellen-Analysen. Nutzen Sie zudem Produkte für automatische Code-Scans, um häufige Fehler in der Codierung zu identifizieren und anschließend zu beheben – bevor Sie das Produkt in den Markt einführen. Stellen Sie zudem sicher, dass sie dabei sowohl statistische als auch dynamische Untersuchungsmethoden anwenden.
Wenn es wirtschaftlich machbar ist, spenden Sie an das Projekt, dessen Open Source Sie einsetzen. Das unterstützt nicht nur die Entwickler sondern auch die Tester. (AVG: ra)
AVG Technologies: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.