Heartbleed-Bug und die radikale Linke

The Heartbleed Bug

Anfang letzter Woche kam Aufregung in die IT-Szene. Entwickler_innen entdeckten eine gravierende Sicherheitslücke in der OpenSSL-Bibliothek. Diese wird von verschiedensten Diensten genutzt, um eine verschlüsselte Verbindung herzustellen und soll eigentlich verhindern, dass Dritte Daten mitlesen können. Genutzt wird diese für verschlüsselte Verbindung zu Webseiten (httpS), zum Abrufen und Senden von E-Mails oder für Jabber, IRC und ähnliche Chats.

 

Auch in der radikalen Linken sorgten die Veröffentlichungen für Verunsicherung. Auch unsere Techkollektive haben zum Großteil die verwundbare Version eingesetzt. Wir wollen mit diesem Text ein wenig Licht ins Dunkel bringen.

Worum geht es genau?


Mittels SSL werden Verbindungen zwischen PCs verschlüsselt. Die häufigste Anwendung findet dies, wenn ihr auf einen Server im Internet zugreift und dabei mit diesem private Daten austauscht. Onlineshops, Foren, E-Mail-Anbieter und Banken setzen auf eine Verschlüsselung privater Daten per SSL. Beim Surfen zeigen dies die Browser durch das Protokoll httpS und häufig ein Schlosssymbol an. Angestoßen durch die NSA-Affäre bieten immer mehr Firmen ihre Service auch oder ausschließlich über SSL-Verbindungen an.


Linke Techkollektive setzen schon lange auf starke Verschlüsselung, um unsere Strukturen vor Ermittlungsbehörden und Geheimdiensten zu schützen. SSL-Verbindungen sind bei diesen eigentlich Standard und werden häufig bereits seit Jahren erzwungen. Um ein paar Beispiele zu nennen: E-Mails können bei Riseup ausschließlich über Verbindungen abgerufen werden, die per SSL geschützt sind. Die Jabber-Server von Systemli sind ebenfalls ausschließlich verschlüsselt erreichbar. Das gleiche gilt für Indymedia linksunten.


Häufig ist SSL dabei die einzige Verschlüsselung, die eingesetzt wird. Beim Surfen im Netz ist keine weitere Verschlüsselung möglich.(1) Bei direkter Kommunikation ist eine zusätzliche Verschlüsselung unmittelbar zwischen den Kommunikationspartnern, d.h. eine end-to-end-Verschlüsselung, möglich. Hier lauten die Stichworte PGP/GPG für Mails und OTR für Chats. In der Praxis werden diese jedoch nur gelegentlich genutzt.


Was ist jetzt das Problem?


In der wohl am meisten verbreiteten Implementierung der SSL-Verbindungen wurde eine gravierende Sicherheitslücke entdeckt. Diese ermöglicht es Dritten Daten vom Server abzugreifen, die dieser gerade verschlüsselt/entschlüsselt. Die Daten betreffen dabei alles, was ihr mit einem Server austauscht - alles was ihr an den Server sendet und alles, was euch der Server zurückgibt. Ein Angreifer kann jedoch nur sehr wahllos Daten abgreifen. Eben nur, was der Server gerade verarbeitet. Es ist nicht möglich gezielt Daten einer Person abzugreifen! Außerdem kriegt der Angreifer nur ein kleines Bruchstück. Dies kann weitgehender Datenmüll sein, aber auch private Daten - zum Beispiel euer Benutzername und Passwort. Soweit bisher bekannt, ist es nicht möglich einen vollständigen Datenfluss abzugreifen. Die Daten können also auch nicht aneinander gepuzzelt werden.


Problematischer ist, dass es wohl auch Situationen geben kann, in denen es einem Angreifer gelingt den privaten Schlüssel des Servers auszulesen. SSL funktioniert in diesem Aspekt ähnlich wie PGP/GPG. Jeder Server hat einen öffentlichen und einen privaten Schlüssel. Gelangt jemand an den privaten Schlüssel, kann er/sie die gesamte Kommunikation mitlesen!


Es ist noch unklar, wie leicht dies möglich ist und ob es auffallen würde. Erste Tests haben gezeigt, dass es nicht leicht, aber unter realistischen Bedingungen möglich ist.(2)


Was heißt das in der Praxis?


Es ist bisher unklar, ob der Bug von Geheimdiesten und/oder Kriminellen ausgenutzt wird. Die Entwickler von OpenSSL haben zeitgleich mit der Veröffentlichung ein Sicherheitsupdate herausgegeben. Fast alle großen Firmen und die linken Tech-Kollektive haben mittlerweile ihre Server aktualisiert, so dass der Fehler ab jetzt nicht mehr ausgenutzt werden kann.


Leider macht die Art des Fehlers es schwer, nachträglich zu ermitteln, ob er ausgenutzt wurde. Die Nachrichtenagentur Bloomberg hat berichtet, dass die NSA seit zwei Jahren die Lücke kennt und ausnutzt. Sie stützt sich dabei auf zwei Informant_innen. Bloomberg hat den Ruf über gute Kontakte zu Informant_innen in amerikanischen Behörden zu verfügen. Die NSA hat dies im Vergleich zu sonstigen Vorwürfen im Kontext der NSA-Affäre ungewöhnlich schnell und entschieden dementiert.(3) Ein niederländisches Unternehmen hat in ihren Log-Dateien vom November letzten Jahres Hinweise darauf gefunden, dass versucht wurde die Lücke auszunutzen. Die möglichen Versuche stammten von einem Botnetz(4), dessen Aktivitäten auf einen geheimdienstlichen Hintergrund hindeuten.(5)


Es ist jedoch unwahrscheinlich, dass ein Wissen über die Lücke weit verbreitet war. Die Lücke ist sowohl für Geheimdienste als auch für Cyber-Kriminelle äußerst lukrativ. Auf dem freien Markt für bisher nicht bekannte Sicherheitslücken dürfte sie - vor ihrer Veröffentlichung - ein Vermögen wert gewesen sein. Hätten Cyber-Kriminelle darüber verfügt, wäre sie wohl bereits durch großflächige Angriffe gegen Online-Banking und ähnlich lukrative Dienste genutzt wurden. Dies schließt natürlich nicht aus, dass einzelne Geheimdienste die Lücke kannten und genutzt haben.


Das worst-case-Szenario: NSA nutzt Heartbleed-Bug


Wir wollen an dieser Stelle aus der Perspektive linksradikaler Aktivist_innen mit dem Szenario beschäftigen, dass die NSA die Lücke kannte und massenhaft ausnutzen konnte. Wir können aktuell nicht sagen, wie wahrscheinlich dies ist. Denken aber, dass viele Leute diese Frage beschäftigt und möchten uns daher mit diesem Szenario auseinandersetzen. Wir wollen damit jedoch nicht vorschneller Panik vorschub leisten!


Wir nehmen also an die NSA kannte die Lücke und konnte gezielt private Schlüssel der Server auslesen. Gleichzeitig wissen wir dank Edward Snowden, dass die NSA Zugriff zu fast allem Internet-Verkehr weltweit hat. In diesem Fall wäre es der NSA daher wohl möglich gewesen, alle SSL-verschlüsselten Verbindungen mitzulesen. Wenn keine zusätzliche Verschlüsselung (PGP/GPG, OTR oder ähnliches) genutzt wurde, lagen der NSA dann die Daten im Klartext vor.


Die meisten unser Aktivitäten dürften wohl weit unter dem Relevanzradar der NSA liegen. Sie gehen zwar in ihre riesigen Datenbanken ein, zu gezielter Spionage oder Ermittlungsverfahren dürfte dies jedoch nicht führen. Unklar ist, ob die deutschen Behörden wohl Zugriff auf solche Daten bekommen würden. Geheimdienste teilen ihr Wissen nur ungerne - auch nicht mit anderen Geheimdiensten und schon gar nicht mit der deutschen Polizei. Wir wissen jedoch, dass das Bundesamt für Verfassungsschutz Zugriff auf Daten aus der Internetüberwachung der NSA hatte. Ob dies auch Daten, die auf solchen Wegen erhoben wurden, betreffen könnte, bleibt spekulativ.


Szenario Nummer 2: deutsche Behörden wittern ihre Chance


Wir halten es für sehr unwahrscheinlich, dass deutsche Repressionsbehörden im Vorfeld über die Lücke Bescheid wussten. Die IT-Spionage deutsche Polizeien und Geheimdienste ist nicht sonderlich gut aufgestellt. Realistischer scheint uns, dass deutsche Behörden - ebenso wie Cyber-Kriminelle - nach der Veröffentlichung der Lücke versucht haben, diese zu nutzen. Sie hatten dafür nur ein kurzes Zeitfenster bis die Techkollektive und co das Sicherheitsupdate aufgespielt haben. Aber angenommen, es gelang ihnen in dieser Zeit private Schlüssel auszulesen.


In diesem Fall sehe es wohl nicht so schlecht aus. Die meisten unserer Provider nutzen eine Technik, die Perfect Forward Secrecy heißt. Diese verhindert, dass aufgezeichnete verschlüsselte Verbindungen im nachhinein entschlüsselt werden können. Sie könnten dann also nur die Verbindungen für die wenigen Stunden zwischen Veröffentlichung der Lücke und dem Einspielen der Sicherheitsupdates nutzen.


Fazit


Ein Fazit in der aktuellen Situation zu schreiben, ist schwierig. Ehrlich gesagt können wir auch nur raten: Tee trinken und abwarten. Panik wird uns absolut nichts bringen. Ebenso macht es wohl wenig Sinn, nun das Internet aus der (politischen) Kommunikation zu verbannen. Sinnvoller ist es da schon, sich mit end-to-end-Verschlüsselung zu beschäftigen. Doppelt hält bekanntlich besser. Außerdem verhindert diese, dass der Server eure Daten mitlesen kann - und da können die Bullen oder Geheimdienste natürlich auch immer ein Spitzel einschleusen. Also das alte und ebenso leidige Thema die Mails mit PGP/GPG zu verschlüsseln und in Chats auf OTR zu setzen.


(1) Die Anonymisierung der Kommunikations per TOR ist ein anderes Thema.
(2) http://www.heise.de/newsticker/meldung/Heartbleed-Worstcase-Server-Schlu...
(3) http://www.heise.de/newsticker/meldung/NSA-will-nichts-von-Heartbleed-Lu...
(4) Ein Botnetz ist ein riesiger Verbund von PCs, die ein Angreifer unter seine Kontrolle bringen konnte und jetzt fernsteuert.
(5) http://www.heise.de/newsticker/meldung/Spionage-Botnet-nutzte-Heartbleed...

Zeige Kommentare: ausgeklappt | moderiert

Dieser Text ist in seiner Konsequenz eine Katastrophe:

Die Art des Fehlers macht es definitiv notwendig ALLE Passwörter die auch im Netz verwendet wurden zu ändern. Das kann  beim Tee trinken parallel gemacht werden.

Da wir nicht wissen wie stark Heartbleed genutzt wurde muss man davon ausgehen, das jede Kommunikation, die über SSL gesicherte Verbindungen ging, in Teilen bekannt ist. Damit sind vor allem Passwörter betroffen.

Im Text angerissen aber nicht ausgeführt: Updated TOR! Tor ist vom Bug auch betroffen. Eine ausführliche Stellungnahme von TOR gibt es hier: https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

Was du betreibst ist aber auch ein bisschen Panikmache. Nicht alle Passwörter müssen geändert werden.

 

Hier eine Liste für den Anfang. Es wäre schön, wenn das um linke provider erweitert werden könnte

 

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Systemli: https://www.systemli.org/update/2014/04/10/neue-zertifikate-fuer-unsere-...

Nadir.org: https://nadir.org/

Immerda: https://www.immerda.ch/info/2014/04/08/heartbleed---nochmals-ein-neues-z...

 

Riseup hat nur kurz einen Wechsel ihrer Zertifikate gemeldet und der Adressen ihrer Tor Hidden Services: https://riseup.net/en

 

jabber.ccc.de hatte wohl Schwein: http://web.jabber.ccc.de/?p=456

Dankschön für die niedrigschwellige Erklärung der Problematik