Der US-Auslandsgeheimdienst NSA bestreitet, den Heartbleed-Bug schon lange gekannt und für seine Zwecke genutzt zu haben. Das Dementi erfolgte per Twitter und wenige Stunden nach einem Bericht der Nachrichtenagentur Bloomberg, der sich auf „zwei mit der Angelegenheit vertraute Personen“ berief. Demnach war die National Security Agency schon seit mindestens zwei Jahren über den schwerwiegenden Fehler informiert und nutzte ihn regelmäßig für ihre Spähprogramme.
Der als Heartbleed bekannt gewordene Fehler ermöglicht den Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten im Speicher konnten Angreifer möglicherweise kritische Informationen sammeln und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschafften. Der lange ungepatchte Fehler gefährdete zahllose Anwender, da auch Nutzernamen und Passwörter ausgelesen werden konnten.
Wenn der Bericht zutrifft, nahm die NSA diese langfristige Gefährdung in Kauf, um selbst für Spionagezwecke Passwörter sowie andere relevante Daten abschöpfen zu können – trug aber gleichzeitig dazu bei, dass viele Millionen Nutzer angreifbar blieben. Sofern die Geheimdienste anderer Länder oder kriminelle Hacker auf die Sicherheitslücke aufmerksam wurden, hatten sie gleichfalls freie Bahn.
„Das widerspricht offenkundig den Behauptungen des Geheimdienstes, er sei in erster Linie der Abwehr verpflichtet“, zitierte Bloomberg dazu Jason Healey, einen früheren Cyber-Offizier der Air Force. „Die Experten für Computersicherheit werden deswegen über sie herfallen.“
Dem Twitter-Dementi folgte inzwischen eine ausführlichere Erklärung des Nationalen Geheimdienstkoordinators, der für die NSA und weitere US-Nachrichtendienste verantwortlich ist. „Berichte, nach denen die NSA oder andere Regierungsbehörden sich der sogenannten Heartbleed-Schwachstelle vor dem April 2014 bewusst waren, sind falsch“, heißt es darin. Die US-Regierung verlasse sich vielmehr selbst auf OpenSSL, um die Privatsphäre der Nutzer von behördlichen Websites und anderen Onlinediensten zu schützen. „Diese Regierung nimmt ihre Verantwortung ernst, zur Erhaltung eines offenen, interoperablen, sicheren und verlässlichen Internets beizutragen. Hätte die Bundesregierung – einschließlich der Geheimdienste – diese Schwachstelle schon vor letzter Woche entdeckt, dann wäre es der für OpenSSL verantwortlichen Community zur Kenntnis gebracht worden.“
Das Dementi stößt allerdings rundum auf Skepsis. Nach den von Whistleblower Edward Snowden enthüllten Unterlagen umgeht die NSA schon länger gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Nach einem Bericht von Reuters zahlte die NSA Millionen Dollar an den Sicherheitsdienstleister RSA und sorgte so für eine fehlerhafte Implementierung von RSA-Tokens. Nach einem weiteren Snowden-Dokument gab die NSA 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. Der Geheimdienst musste einräumen, dass er über Informationen zu solchen ungepatchten Schwachstellen verfügt und sie mindestens teilweise zurückhält. Sicherheitsexperten werfen ihr deshalb die gezielte Unterminierung der Internet-Sicherheit vor.
Die berichtete Ausnutzung des Heartbleed-Bugs entfacht erneut die Debatte über die gegensätzlichen Zielsetzungen der National Security Agency. Einerseits ist sie mit Auslandsspionage beauftragt und kann dem mit fast unbegrenzten Mitteln nachgehen. Andererseits soll sie Cyberangriffe abwehren und ist für die Sicherheit von US-Regierungsbehörden verantwortlich. Hält sie Wissen über Schwachstellen zurück, um sie selbst für Angriffszwecke nutzen zu können, gefährdet sie eine ohnehin anfällige Kommunikationsinfrastruktur.
Um solche potenziellen Interessenkonflikte aufzulösen, regte ein von Präsident Barack Obama eingesetztes Expertengremium auch eine Aufspaltung der NSA an. Es empfahl außerdem die Klarstellung, dass die NSA nichts unternehme, um weltweite Verschlüsselungsstandards zu schwächen sowie für angreifbare Produkte und Services zu sorgen. Diese Vorschläge griff Obama in seinem Reformplan für die US-Geheimdienstaktivitäten jedoch nicht auf.
[mit Material von Edward Moyer, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…