Nun ist's raus, wieso die NSA in viele Kommunikationsstränge und in Rechner eindringen konnte: Den Geheimdiensten war die OpenSSL-Sicherheitslücke seit langem bekannt und wurde ausgenutzt.
Anzeige
Dies berichtet die Nachrichtenagentur Bloomberg hier. Laut Bloomberg, die sich auf der NSA nahestende Quelle berufen, haben die Schlapphüte der NSA den Headbleed-Bug seit 2 Jahren aktiv ausgenutzt habe. Wirft natürlich ein besonderes Licht auf die ganze Geschichte.
Vor ein paar Tagen wurde an einigen Stellen noch diskutiert, dass es "unklug" gewesen sei, die Lücke zu veröffentlichen, bevor ein Patch veröffentlicht sei – da sonst Krimellen Gelegenheit gegeben würde, den Zero-Day-Exploit auszunutzen. Die Story hinter der Entdeckung und Veröffentlichung lässt sich hier nachlesen. Dabei hatten die Kriminellen das längt für sich entdeckt. Denn ich frage mich, woher die in letzter Zeit so massenhaft auftauchenden, gestohlenen E-Mail-Adressen samt Kennwörtern wohl stammen.
Zweite pikante Note an der ganzen Sache: Den NSA-Verantwortlichen war es offenbar schnurz egal, dass Kriminelle damit die gesamte Infrastruktur des Web, samt Online-Identitäten und Finanzströmen, kompromittieren konnten. Kanada hat z.B. aktuell die elektronische Übertragung von Steuerdaten aus Sicherheitsgründen eingestellt.
Der Vollständigkeit halber möchte ich aber auch angeben, dass die NSA offiziell verlautbaren lässt (Link tot), dass man vom HeartBleed-Bug erst vor Tagen erfahren habe. Eine gute Nachricht habe ich doch: Der Entdecker von HeartBleed, die Firma Cloudflare, ist der Frage nachgegangen, ob man über die Lücke an private Schlüssel für SSL-Zertifikate herankommen kann. Dann müssten alle Zertifikate neu ausgestellt werden – was den Zusammenbruch der Infrastruktur der Trustcenter nach sich ziehen würde. Laut diesem Bericht scheint aber der Zugriff auf private SSL-Keys nicht möglich gewesen zu sein.
Anzeige
Anzeige
Nachtrag: Egal, ob die NSA das seit Jahren nutzt oder erst im April davon erfuhr. Nach diesem Artikel sammelt die NSA Daten, die sie aktuell nicht entschlüsseln kann, um diese nach Jahren, sobald entsprechende Techniken vorliegen, nachträglich zu entschlüsseln.
Ähnliche Artikel zu Heartbleed
1: http://www.borncity.com/blog/2014/04/09/adobe-und-wordpress-sicherheits-updates-win-xp-absichern-openssl-lcke/
2: http://www.borncity.com/blog/2014/04/08/katastrophe-openssl-mit-heartbleed-sicherheitslcke/
3: http://www.borncity.com/blog/2014/04/11/nsa-nutzt-heardbleed-sicherheitslcke-seit-jahren/