Open Source Software sei grundsätzlich sicherer als Closed Source Software, weil jeder in den Code schauen und Fehler korrigieren könne. Und überhaupt, da seien so viele Entwickler mit Herzblut bei der Sache und würden das alles nur aus der Motivation heraus machen, die bestmögliche Software abzuliefern, also muss OSS einfach besser sein. Solche und ähnliche Argumente hört man gerne von Open Source Fundamentalisten – und der aktuelle OpenSSL-Bug namens Heartbleed hat eben nun bewiesen, dass es so einfach dann doch nicht ist.
Gleich vorweg: Ich habe nichts gegen Open Source Software, ganz im Gegenteil. Ich setze selbst gerne und häufig OSS ein. Aber ich glaube nicht an die häufig behauptete grundsätzliche Überlegenheit quelloffener Software. Und am Ende des Tages ist eben entscheidend, mit welchem Werkzeug ich meine Arbeit am besten erledigt bekomme und nicht, auf welche Art das Werkzeug hergestellt wurde. Mag hinken, wie jeder Vergleich, aber einen Nagel bekomme ich mit dem tollsten und unter fairsten Bedingungen hergestellten Schraubendreher nicht wirklich gut in die Wand, da funktioniert ein Hammer einfach besser, ganz unabhängig von den Produktionsbedinungen.
Bei OpenSSL handelt es sich nun nicht um das falsche Werkzeug, sondern um eines der wohl am weitesten verbreiteten Open Source Pakete, welches reihenweise in andere Software eingebunden wurde. Und dann ist in dieser Software ein Bug, der (Achtung, was nun folgt ist ganz übel vereinfacht, Experten mögen sich bitte aus anderen Quellen über die Details informieren) es mal eben ohne Aufwand jedem ermöglicht, von einem betroffenen Server alle Daten abzuziehen, die der gerade im Speicher hat. Das sind natürlich vor allem mal die SSL-Keys, die für die Verschlüsselung genutzt werden und jeder kann sich denken, was eine Verschlüsselung noch wert ist, wenn die Schlüssel dazu dem Angreifer bekannt sind. Genau. Gar nichts mehr.
Wir haben hier also eine wirklich gute Gelegenheit, einfach mal die Passwörter zumindest der wichtigsten Dienste zu ändern, wie die für Mails, Cloud-Speicher und Zahlungsdienste. Will man wirklich 100%ig auf Nummer sicher gehen, dann müsste man jede Website, jeden durch SSL abgesicherten Dienst daraufhin überprüfen, ob er (noch) angreifbar ist und nur, wenn er nicht (mehr) angreifbar ist und mit einem neuen Zertifikat (das nach dem Auftauchen des Bugs ausgestellt wurde) gesichert ist, dort einloggen und das Passwort ändern. Aber selbst das garantiert natürlich keine 100%ige Sicherheit, aber vielleicht macht das auch technisch weniger versierten Menschen deutlich, wie sehr jeder Internetnutzer von diesem Bug betroffen ist.
Übrigens hat Fefe da sehr interessante Dinge zu dem Bug geschrieben, über die man mal nachdenken sollte:
Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen.
Man mag das als Verschwörungstheorie abtun, aber wie viel haben wir in Sachen Massenüberwachung früher als wilde Verschwörungsphantasie abgetan, was inzwischen bittere Realität ist?
Aber nicht nur für Fans von einer guten Verschwörungstheorie gibt es bei Fefe lesenswertes, denn auch Entwickler ganz allgemein bekommen von Fefe auf’s Dach und er gibt eine interessante Einschätzung, wie dieser Bug in OpenSSL bislang übersehen werden konnte. Es scheint – wenn man ihm glauben möchte – bei der Softwareentwicklung grundsätzliche Qualitätsprobleme zu geben, die bei OSS prinzipiell noch schlimmer sind als bei kommerzieller Software:
Und bei Open Source ist das natürlich noch mal schwieriger, Qualitätsstandards einzuhalten, wenn du niemandem damit drohen kannst, dass er gefeuert wird, wenn er sich nicht zusammenreißt.
Wir haben durch diesen Bug zumindest ein paar Dinge gelernt:
- Open Source Software ist nicht automatisch besser oder sicherer als Closed Source Software
- unsere Möglichkeiten sicher zu kommunizieren sind extrem abhängig von relativ wenig Code
- die Verwendung von sicheren Passwörtern alleine reicht nicht, man sollte die auch regelmäßig wechseln
- 100%ige Sicherheit gibt es nicht und wird es niemals geben
Update: Bei Mashable findet Ihr eine (natürlich niemals vollständige) Liste der Dienste, bei denen Ihr Eure Passwörter auf jeden Fall ändern müsst!