• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Previous Story
Zickenterror: Siri vs. Cortana

von Carsten Dobschat

Next Story
Land Rover: Neue Technologie macht das Auto 'unsic ...

von Carsten Drees

Kommentare

Heartbleed und das Märchen von sicherer Open Source Software [Update]

von Carsten Dobschat am 10. April 2014
  • Email
  • @dobschat

Open Source Software sei grundsätzlich sicherer als Closed Source Software, weil jeder in den Code schauen und Fehler korrigieren könne. Und überhaupt, da seien so viele Entwickler mit Herzblut bei der Sache und würden das alles nur aus der Motivation heraus machen, die bestmögliche Software abzuliefern, also muss OSS einfach besser sein. Solche und ähnliche Argumente hört man gerne von Open Source Fundamentalisten – und der aktuelle OpenSSL-Bug namens Heartbleed hat eben nun bewiesen, dass es so einfach dann doch nicht ist.

Gleich vorweg: Ich habe nichts gegen Open Source Software, ganz im Gegenteil. Ich setze selbst gerne und häufig OSS ein. Aber ich glaube nicht an die häufig behauptete grundsätzliche Überlegenheit quelloffener Software. Und am Ende des Tages ist eben entscheidend, mit welchem Werkzeug ich meine Arbeit am besten erledigt bekomme und nicht, auf welche Art das Werkzeug hergestellt wurde. Mag hinken, wie jeder Vergleich, aber einen Nagel bekomme ich mit dem tollsten und unter fairsten Bedingungen hergestellten Schraubendreher nicht wirklich gut in die Wand, da funktioniert ein Hammer einfach besser, ganz unabhängig von den Produktionsbedinungen.

Bei OpenSSL handelt es sich nun nicht um das falsche Werkzeug, sondern um eines der wohl am weitesten verbreiteten Open Source Pakete, welches reihenweise in andere Software eingebunden wurde. Und dann ist in dieser Software ein Bug, der (Achtung, was nun folgt ist ganz übel vereinfacht, Experten mögen sich bitte aus anderen Quellen über die Details informieren) es mal eben ohne Aufwand jedem ermöglicht, von einem betroffenen Server alle Daten abzuziehen, die der gerade im Speicher hat. Das sind natürlich vor allem mal die SSL-Keys, die für die Verschlüsselung genutzt werden und jeder kann sich denken, was eine Verschlüsselung noch wert ist, wenn die Schlüssel dazu dem Angreifer bekannt sind. Genau. Gar nichts mehr.

Wir haben hier also eine wirklich gute Gelegenheit, einfach mal die Passwörter zumindest der wichtigsten Dienste zu ändern, wie die für Mails, Cloud-Speicher und Zahlungsdienste. Will man wirklich 100%ig auf Nummer sicher gehen, dann müsste man jede Website, jeden durch SSL abgesicherten Dienst daraufhin überprüfen, ob er (noch) angreifbar ist und nur, wenn er nicht (mehr) angreifbar ist und mit einem neuen Zertifikat (das nach dem Auftauchen des Bugs ausgestellt wurde) gesichert ist, dort einloggen und das Passwort ändern. Aber selbst das garantiert natürlich keine 100%ige Sicherheit, aber vielleicht macht das auch technisch weniger versierten Menschen deutlich, wie sehr jeder Internetnutzer von diesem Bug betroffen ist.

Übrigens hat Fefe da sehr interessante Dinge zu dem Bug geschrieben, über die man mal nachdenken sollte:

Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen.

Man mag das als Verschwörungstheorie abtun, aber wie viel haben wir in Sachen Massenüberwachung früher als wilde Verschwörungsphantasie abgetan, was inzwischen bittere Realität ist?

Aber nicht nur für Fans von einer guten Verschwörungstheorie gibt es bei Fefe lesenswertes, denn auch Entwickler ganz allgemein bekommen von Fefe auf’s Dach und er gibt eine interessante Einschätzung, wie dieser Bug in OpenSSL bislang übersehen werden konnte. Es scheint – wenn man ihm glauben möchte – bei der Softwareentwicklung grundsätzliche Qualitätsprobleme zu geben, die bei OSS prinzipiell noch schlimmer sind als bei kommerzieller Software:

Und bei Open Source ist das natürlich noch mal schwieriger, Qualitätsstandards einzuhalten, wenn du niemandem damit drohen kannst, dass er gefeuert wird, wenn er sich nicht zusammenreißt.

Wir haben durch diesen Bug zumindest ein paar Dinge gelernt:

  1. Open Source Software ist nicht automatisch besser oder sicherer als Closed Source Software
  2. unsere Möglichkeiten sicher zu kommunizieren sind extrem abhängig von relativ wenig Code
  3. die Verwendung von sicheren Passwörtern alleine reicht nicht, man sollte die auch regelmäßig wechseln
  4. 100%ige Sicherheit gibt es nicht und wird es niemals geben

Update: Bei Mashable findet Ihr eine (natürlich niemals vollständige) Liste der Dienste, bei denen Ihr Eure Passwörter auf jeden Fall ändern müsst!

Heiss diskutiert
Die besten Smartphones: Stand November 2019
von Nicole
Die besten Smartphones: Stand November 2019
Die besten günstigen Bluetooth-Kopfhörer (unter 30 Euro)
von Nicole
Die besten günstigen Bluetooth-Kopfhörer (unter 30 Euro)
Zaco A9S im Test – Premium Staubsauger- und Wischroboter
9.2
von Ümit Memisoglu
Zaco A9S im Test – Premium Staubsauger- und Wischroboter
Tesla Cybertruck vorgestellt: Elon, das ist nicht Dein Ernst, oder?
von Carsten Drees
Tesla Cybertruck vorgestellt: Elon, das ist nicht Dein Ernst, oder?
Related Video
video
Geniales Marketing und Foldables – auch Lego mischt mit
Allgemein Security
Security
Ähnliche Artikel
Unsere mobilen Endgeräte werden zunehmend zu mobilen Sicherheitslücken
30. April 2019
Unsere mobilen Endgeräte werden zunehmend zu mobilen Sicherheitslücken
Kurzmeldungen: Einkaufswagen von Ford, Nintendo Switch, Airbnb-Filme und 1 Billionen
26. April 2019
Kurzmeldungen: Einkaufswagen von Ford, Nintendo Switch, Airbnb-Filme und 1 Billionen
Google I/O 2019: Das können wir dieses Jahr vom Unternehmen erwarten
23. April 2019
Google I/O 2019: Das können wir dieses Jahr vom Unternehmen erwarten
Kurzmeldungen: Fuchsia-Release, Hacker in Mexiko, geistige Gesundheit und Sri Lanka
22. April 2019
Kurzmeldungen: Fuchsia-Release, Hacker in Mexiko, geistige Gesundheit und Sri Lanka
Kommentare

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
Die besten Smartphones: Stand November 2019
von Nicole
Die besten Smartphones: Stand November 2019
Die besten günstigen Bluetooth-Kopfhörer (unter 30 Euro)
von Nicole
Die besten günstigen Bluetooth-Kopfhörer (unter 30 Euro)
Zaco A9S im Test – Premium Staubsauger- und Wischroboter
9.2
von Ümit Memisoglu
Zaco A9S im Test – Premium Staubsauger- und Wischroboter
Tesla Cybertruck vorgestellt: Elon, das ist nicht Dein Ernst, oder?
von Carsten Drees
Tesla Cybertruck vorgestellt: Elon, das ist nicht Dein Ernst, oder?
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2019 Mobilegeeks.de, Alle Rechte vorbehalten