Linux anfällig für Apple-Cert-Fehler (irgendwie)

An einem späten Freitagabend Mitte Februar hat Apple ganz leise einen kritischen Zertifikatsfehler in iOS ausgebessert, der Angreifern die Möglichkeit gibt, eigentlich geschützte Kommunikation auszuspionieren.

So kritisch der Fehler auch war und so ungünstig eine Patch-Veröffentlichung am späten Freitagabend auch ist, für Apple ist das die Standardvorgehensweise. Die Firma aus dem kalifornischen Cupertino ist bekannt dafür, hinter einem Schleier des Geheimnisses zu arbeiten.

Doch einen Tag nach der Patch-Veröffentlichung kam einiges Interesse dafür auf, als bekannt wurde, dass der Fehler nicht nur Apples mobiles iOS-Betriebssystem, sondern auch das traditionelle OSX betraf. Die Geschichte entwickelte sich in der letzten Woche weiter, als klar wurde, dass ein unheimlich ähnlicher Fehler in GnuTLS zu finden war, einer kostenlosen Open-Source-Software, die zur Implementierung von Verschlüsselung in verschiedenen Linux-Varianten und anderen Plattformen verwendet wird.

Als die Fehler von immer mehr Menschen untersucht wurden (vor allem der Apple-Fehler), wurden immer mehr Stimmen von Medien und Forschern laut, die das Ganze als Trick bezeichneten. Bruce Schneier, einer der weltweit führenden Verschlüsselungs- und Sicherheits-Experten, beschrieb die Sicherheitslücke folgendermaßen:

„Der Fehler ist subtil und beim Prüfen des Codes kaum zu entdecken. Man kann sich leicht vorstellen, wie das aus Versehen passiert konnte. Und es wäre für eine einzige Person trivial leicht gewesen, die Sicherheitslücke hinzuzufügen. Wurde es absichtlich gemacht? Das kann ich nicht sagen. Aber wenn ich so etwas absichtlich machen wollte, würde ich es genau so machen.“

Andere Forscher waren direkter und sagten, dass die Programmierfehler, die zu dem Apple-Fehler führten – der auch als „goto fail“ bezeichnet wurde – fast unmöglich gemacht werden könne und bei der Code-Prüfung noch schwerer zu übersehen sei. Im derzeitigen politischen Klima und dem möglichen Nutzen der „Goto-Fail“-Sicherheitslücke, haben viele spekuliert, dass sowohl der Apple- als auch der GnuTLS-Fehler für jeden Spion sehr wertvoll wäre.

Doch während sie zweifelsohne fast gleichzeitig entdeckt wurden und eine ähnliche Wirkung haben, so sind doch beide auf recht unterschiedliche Weise entstanden. Matthew Green von der Johns Hopkins University, ebenfalls ein bekannter Verschlüsselungs-Experte, hat den GnuTLS-Fehler untersucht und glaubt, dass es ein – wenn auch dummer – Programmierfehler ist.

Von Verschwörungstheorien abgesehen, bedeutet dieser Crypto-Validierungsfehler in GnuTLS, dass alle Desktop- und Serverprodukte von Red Hat, sowie alle Debian- und Ubuntu-(Linux)-Installationen den Fehler enthalten, der zur Überwachung der Kommunikation auf diesen Maschinen ausgenutzt werden kann. Er betrifft alle Systeme auf allen Ebenen. Nicht nur sichere Internet-Sessions (angezeigt durch das „https“ in der Adresszeile) wären betroffen, sondern auch alle Programme, Downloads und jede andere verschlüsselte Kommunikation, die GnuTLS nutzt.

Man muss aber dazusagen, dass ein Angreifer Zugriff auf das lokale Netzwerk seines Opfers haben müsste, um einen dieser Fehler ausnutzen zu können. Doch unter den passenden Umständen, könnte ein Angreifer darüber eine Man-in-the-Middle-Attacke durchführen, bei der das Opfer meint, es würde mit einem vertrauenswürdigen Online-Service kommunizieren, in Wirklichkeit aber Daten direkt an den Angreifer schickt. Beide Fehler bieten damit eine für Kriminelle ideale Möglichkeit, Login-Daten zu stehlen und die lokale Netzwerkkommunikation zu überwachen.

„Schlimmer kann es kaum werden“, sagt Kenneth White, Sicherheits-Experte und führender Wissenschaftler bei Social & Scientific Systems. „Ein Angreifer kann einfach eine willkürliche Domain fälschen, die für den Anwender ganz normal und vertrauenswürdig aussieht. Damit ist nicht nur das Abhören vertraulicher Kanäle möglich, sondern auch das potenzielle Untergraben vertrauenswürdiger Paketsignaturen.“

Mit anderen Worten: Es ist damit möglich, Zertifikatsinformationen zu fälschen, über die der Anwender prüfen könnte, wer das Programm entwickelt hat, das er herunterladen möchte.

Wenn Sie unter Linux arbeiten, ist Ihr Computer wahrscheinlich für die Sicherheitslücke anfällig. Wir empfehlen, so schnell wie möglich die aktuellste Version Ihrer Linux-Distribution zu installieren. Falls Sie keines der vielen verfügbaren Linux-Systeme nutzen, heißt das allerdings nicht, dass Sie vor der Sicherheitslücke geschützt sind. Denn GnuTLS wird in vielen Fällen und auf einer unbekannten Zahl von Computern genutzt. Die Moral der Geschichte ist die gleiche wie immer: Aktualisieren Sie Ihr System und Ihre Programm frühzeitig und regelmäßig.