HOB Connectivityspacer | English | Français | Русский |

Internet-Sicherheit und Heartbleed

Mein Name ist Klaus Brandstätter. Ich bin Diplom-Ingenieur und werde dieses Jahr 60. Ich habe vor über 40 Jahren im Gymnasium  Programmieren gelernt und seitdem mehr als eine Million lines-of-code selbst  entwickelt. Ich bin auch CEO der Firma HOB GmbH & Co. KG.

 

Ich habe mir den problematischen Source­code von Heartbleed ange­sehen und verstanden. Ein Angreifer kann bis zu 64 Kilobytes zufälligen Speicher auslesen, was immer zufällig in diesem Speicher steht, Passworte, Zertifikate, geheime Schlüssel, die unverschlüs­selte Nachricht. Bei Angriffen kann auch zufällig der Webserver abstürzen, man könnte also auch eine Denial-of-Service Attacke über Heartbleed durchführen.

 

Es gibt den Grundsatz: alles was der Benutzer eingibt muss sorgfältig geprüft werden. Das wissen eigentlich alle, auch die Entwickler von Webseiten. Des weiteren gibt es den Grundsatz, dass alles was vom Netzwerk kommt gründlich und sorgfältig geprüft werden muss - insbesondere wenn es aus dem Public Internet kommt, vielleicht von Hackern. Der betreffende Entwickler hat diesen (einfachen) Grundsatz nicht beachtet. Also ist der betreffende Entwickler nicht übermäßig intelligent und hat auch nicht die notwendigen Grundkenntnisse. Das ist die eine Seite.

 

Wie kommt es, dass ein so qualifizierter Entwickler an hochsensibler Sicherheits-Software arbeiten darf? Dafür sind andere verantwortlich. OpenSSL ist Open-Source Software. Entwickelt wird meist ohne Entlohnung, als Hobby, neben dem Beruf. Solche Open-Source Entwickler sind oft erst 17 Jahre alt.

 

Es gibt hervorragende Open-Source Lösungen. Aber der überwiegende Teil der Open-Source Software ist von wirklich minderer Qualität. Open-Source Projekte werden gemanaged. Wie wird OpenSSL gemanaged? Wie kann das Management (egal in welcher Art) zulassen, dass unqualifizierte Bastler an hochsensibler Sicherheits-Software mitentwickeln? Eine Software zu programmieren, welche irgendwie funktioniert, das schaffen auch wenig qualifizierte Entwickler. Qualität ist eine andere Sache.

 

Wenn man solche Software minderer Qualität einsetzt, dann hat man das Sicherheits-Risiko. Aber man hat für den Betrieb der Lösungen auch höhere Kosten, weil diese Lösungen dann oft nicht funktionieren – wenn eben ein besonderes Ereignis eintritt.

 

Manche erfolgreichen Internet-Unter­nehmen haben folgendes Geschäftsprinzip: Man nehme möglichst viel Open-Source Software, kombiniere das mit eigenen Ideen, vielleicht noch mit wenigen eigenen Programmzeilen. Das Ganze ist schnell fertig und hat viele Funktionen. Genau das was Anwender wollen. Dann wird es in eine fantasievolle Box gepackt (die Box nennt sich ‚Appliance‘) und schon beginnt der Verkauf. Nach diesem Prinzip sind einige Firmen in Silicon Valley sehr groß geworden. Und solche Unternehmen setzen eben für die Verschlüsselung OpenSSL ein – ohne irgendwie die Qualität zu prüfen.

 

Eine Kette ist so schwach wie das schwächste Glied. Das lernen alle die sich mit Qualitäts-Management befassen. Wo ist das Qualitäts-Management wenn OpenSSL eingesetzt wird? Diese Vorgehensweise ist unverantwortlich. Fazit: alle, welche Lösungen basierend auf OpenSSL einsetzen, handeln unverantwortlich.

 

Aus OpenSSL wurde jetzt Heartbleed entfernt. Wer weiß, wieviele Probleme noch in OpenSSL schlummern? HOB Lösungen beruhen auf HOB-SSL, entwickelt von festangestellten Mitarbeitern der Firma HOB GmbH & Co. KG. Alle Mitarbeiter müssen erst schwierige Tests absolvieren bevor sie bei HOB angestellt werden. HOB-SSL wurde von hochqualifizierten Entwicklern entwickelt und getestet. Das hat viele Jahre gedauert.

 

Die HOB Programme werden mit teueren Tools überprüft; diese Tools prüfen so wie es ein Mensch (ohne Tools) nicht tun könnte. (Open-Source Entwickler habe keine teueren Tools zur Verfügung.) HOB-SSL wurde vom BSI nach Common Criteria EAL 4+ zertifiziert. Diese Zertifizierung war aufwändig und hat mehrere Jahre gedauert. HOB musste theoretisch und praktisch nachweisen, dass HOB RD VPN, basierend auf HOB-SSL, sicher ist.

 

Am theoretischen Nachweis hat der Mathematiker Professor Dr. Richard (Universität Erlangen-Nürnberg) mitgearbeitet. Die Unterlagen zur Zertifizierung umfassen ca. 1.500 Seiten. Natürlich hat all das viel Geld ge­kostet.

 

Nur wenige Sicherheits-Komponenten schaffen die Zertifizierung nach Common Criteria EAL 4+. Common Criteria ist ein internationaler Standard (bzw. der Industrie-Nationen) an welchem auch die NSA mitarbeitet. Die NSA weiß schon was sicher ist. Die wollen selbst nicht gehackt oder ausspioniert werden. HOB-SSL hat diese
Common Criteria EAL 4+ Zertifizierung geschafft.

 

Bei HOB wird streng darauf geachtet, dass sicherheitskritische Produkte nicht in falsche Hände geraten. Das gilt für die fertigen Produkte. Erst recht der Sourcecode, den dürfen nur ausgewählte Personen einsehen.

 

Was hält der Leser davon, für sicherheitskritische Funktionen Open-Source zu verwenden, wo jeder der hacken will ganz bequem im Sourcecode suchen kann wie das Ganze funktioniert und ob er nicht eine Schwachstelle findet?

 

HOB ist sich der Verantwortung den Kunden und Anwendern gegenüber bewusst und handelt entsprechend.

 

 

Klaus Brandstätter
www.hob.de

 

 

 
 

Bookmark and Share