Heartbleed und die Folgen – 2 Monate danach
Nachdem der Heartbleed-Bug nicht nur die Medien, sondern auch die IT-Security-Szene in helle Aufregung versetzt hatte, haben sich die Wogen wieder einigermassen geglättet. Jedoch nicht ohne Folgen…
Opfer
Da es sehr schwer ist, einen Einbruch oder Datendiebstahl definitiv dem Heartbleed-Bug zuzuschreiben, sind mediale Veröffentlichungen grosser Hacks durchs Band ausgeblieben. Auch Online-Sammelstellen von weltweiten Datenlecks wie z.B. die DatalossDB, melden nur ganz wenige Vorfälle, die wirklich dem Heartbleed-Bug zuzurechnen sind. Die Dunkelziffer dürfte höher sein, doch wie hoch, werden wir wohl nie erfahren.
Totgesagte leben länger
Dass der Bug aber noch nicht ganz ausgestanden ist, zeigt ein Proof-of-Concept-Tool, welches den Heartbleed-Bug auch bei bestimmten WLANs mit EAP-Authentifizierung zur Anwendung bringt. Allerdings nur, wenn das dort zum Einsatz kommende TLS eine verwundbare Version von OpenSSL verwendet. In einem solchen Fall ist nicht nur der Client und der Access Point gefährdet, sondern auch der eingesetzte Radius-Server.
Aufräumarbeiten
War bis anhin nur eine Person für OpenSSL zuständig, hat sich nun – nach anfänglichen Querelen – die Linux Foundation doch noch dazu durchgerungen das OpenSSL-Projekt, als einer der wichtigsten Stützpunkte bei der Online-Verschlüsselung, finanziell zu unterstützen. Unter dem Namen Core Infrastructure Initiative haben sich nun namhafte Hersteller wie Google, IBM, Intel, Microsoft, NetApp, Cisco oder VMware zusammengeschlossen und stellen für die wichtigsten Open-Souce-Projekte die finanzielle Grundlage zur Verfügung.
Zusätzlich hat das OpenBSD-Team einen OpenSSL-Fork unter dem Namen LibreSSL gestartet, um den historisch gewachsenen Sicherheits-Code einmal von Grund auf aufzuräumen und zu modularisieren. Der Release ist für den 1. November 2014 in der Version 5.6 geplant.
Ausblick
Obwohl die Awareness für solche sicherheitskritische Software zumindest zurzeit dramatisch gestiegen ist, sind viele Experten dennoch der Meinung, dass es noch den einen oder anderen Super-Gau geben werde. Vor allem in Bereichen, die gar nicht im Stande sind, auf eine kritische Lücke schnell zu reagieren, wie z.B. im medizinischen Bereich.