Heartbleed: Entwickler sollten nicht an Silvester coden

Unfassbar !10
Seit wann wusste die NSA von der Sicherheitslücke?
Seit wann wusste die NSA von der Sicherheitslücke?(© 2014 Heartbleed)

Bei der OpenSSL-Sicherheitslücke Heartbleed handelt es sich um eine der größten Sicherheitslücken im Internet. Die Ursache ist inzwischen ermittelt: Eine kleine Unachtsamkeit eines deutschen Programmierers vor zwei Jahren ist der Grund dafür, dass jetzt unzählige Passwörter geändert werden müssen.

Robin Seggelmann heißt der Unglücksrabe und arbeitete während seines Studiums an dem OpenSSL-Code. Dem Sydney Morning Herald erklärte er, wie es zum Fehler kam, den auch Dr. Stephen Henson bei der Überprüfung des Codes übersehen hat. Der Fehler entstand an Sylvester 2011 - je nach Zeitzone kurz vor oder kurz nach Mitternacht -:  anscheinend weder ein guter Zeitpunkt, um Code zu schreiben, noch um ihn zu überprüfen.

Seggelmann arbeitete nach eigenen Angaben daran, OpenSSL zu verbessern – einige Fehler wurden ausgebessert, neue Funktionen eingebaut. Dabei vergaß er leider bei einer Variablen, die Länge zu bestätigen. Sein Code ging aber nicht sofort live, sondern wurde noch von einem weiteren Programmierer, Stephen Henson, überprüft, der den Fehler ebenfalls übersah.

"Katastrophal ist das richtige Wort. Auf einer Skala von 1 bis 10 ist es eine 11" (Bruce Schneier)

Der Fehler an sich war Seggelmann zufolge ziemlich trivial, hat dafür jetzt aber um so größere Auswirkungen. Er betont noch einmal, dass der Heartbleed Bug ein Versehen und nicht beabsichtigt war. Trotzdem könne er nicht ausschließen, dass Geheimdienste - mit denen er nie in Verbindung stand oder stehe - die Sicherheitslücke in den letzen zwei Jahren ausgenutzt haben. Umso wichtiger ist es jetzt, dass Ihr Eure Passwörter ändert.

Seggelmann sieht den Heartbleed Bug als Beleg dafür, dass Open Source Software mehr Aufmerksamkeit benötigt. Millionen Menschen nutzen die Programme, aber nur wenige arbeiten an ihnen. Dabei ist der Code für alle zugänglich und überprüfbar. Je mehr Menschen ihn sich anschauen, um so besser wird er – vor allem bei so wichtigen Dingen wie OpenSSL.


Weitere Artikel zum Thema
Xiaomi Mi8: Video zeigt Finger­ab­druck­sen­sor in Aktion
Michael Keller2
Xiaomi Mi6
Das Xiaomi Mi8 könnte schon bald erscheinen. Nun ist ein Video aufgetaucht, in dem das Top-Smartphone in Aktion zu sehen sein soll.
"State of Decay 2" für Xbox One im Test: Schon geil, aber hinge­klatscht!
Boris Connemann2
Supergeil !8Die untoten Horden sind los – und ihr kämpft mittendrin ums nackte Überleben.
7.0
Wir haben "State of Decay 2" für Xbox One und Windows 10 PCs getestet: Wie gut ist der gemeinsame Kampf gegen die untoten Horden?
Snap­chat veröf­fent­licht Linse zum Kino­start von Dead­pool 2
Lars Wertgen
Snapchat hat sich zum Kinostart von "Deadpool 2" etwas einfallen lassen
Snapchat holt euch "Deadpool 2" dank Augmented-Reality nach Hause. Der Antiheld bekommt eine eigene Linse.

Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Durch die weitere Nutzung der Website stimmen Sie dem zu. Um mehr über die von uns verwendeten Cookies zu erfahren und wie man sie deaktiviert, können Sie unsere Cookie-Richtlinie aufrufen.