Vor 10 Jahren: Sicherheitslücken sind kein Aprilscherz

Pünktlich zum 10-jährigen Jubiläum von Heartbleed ist eine absichtlich programmierte Lücke in der Kompressionsbibliothek xz bekannt geworden, die das Potenzial hatte, die größte Schwachstelle in der Computergeschichte zu werden. Das hat die Debatte um die Abhängigkeit der IT-Welt von Open Source erneut entfacht.

Anfang April 2014 wurde mit dem Heartbleed-Bug ein groteskes Missverhältnis zwischen der Relevanz eines Projekts und seiner Betreuung bekannt und in der iX 5/2014 besprochen. Im Editorial schrieb Klaus Schmeh: „Eine vergessene if-then-Abfrage in einer unbezahlten Studentenarbeit hat eine der schwerwiegendsten Sicherheitslücken in der Geschichte des Internets entstehen lassen.“ Ein Student der FH Münster hatte ein Programm für OpenSSL geschrieben, mit dem sich Server vergewissern können, dass die Gegenseite noch existiert. Ein Fehler gestattete es, dass Angreifer vom antwortenden Server 16 KByte aus dem Arbeitsspeicher auslesen konnten, womöglich gar den privaten Schlüssel. Getestet wurde das Programm von einem Briten, der den Fehler nicht fand oder finden wollte. Er lebte in der Nähe des britischen Geheimdienstes GCHQ. Oder war gar die NSA daran beteiligt?

Zehn Jahre später feiern die Verschwörungstheorien wieder einmal fröhliche Urständ. Ein Programmierer, der als Einziger die xz-Tools zur Datenkompression betreute, erlitt einen Burn-out und suchte einen Nachfolger. Ein Mensch unter dem Namen Jian Tan fand sich und stieg bald zum Co-Maintainer des Projekts auf. In dieser Funktion fügte er eine Backdoor ein, die in binärer Form in den Tarballs des Projektes gespeichert wurde. Gleichzeitig begann eine Kampagne, den neuen Code in die großen Distributionen zu übertragen. Die Bedrohung flog nur auf, weil einem Entwickler beim Analysieren gescheiterter Logins auffiel, dass ein SSH-Login auf einem Rechner mit dieser Backdoor 500 Millisekunden länger dauerte und übermäßig viel CPU verbrauchte. Er fand die Backdoor, schlug Alarm und beschäftigte damit über Ostern Hunderte Admins, die Backdoor zu entfernen. Schnell gab es die Vermutung, dass ein derart komplexer Angriff auf eine Gruppierung mit fiktiven Personas hindeutet, die im Auftrag eines Staates handelt. Noch ein Geheimdienst.