An einem sp\u00e4ten Freitagabend Mitte Februar hat Apple ganz leise einen kritischen Zertifikatsfehler in iOS ausgebessert, der Angreifern die M\u00f6glichkeit gibt, eigentlich gesch\u00fctzte Kommunikation auszuspionieren.<\/p>\n
So kritisch der Fehler auch war und so ung\u00fcnstig eine Patch-Ver\u00f6ffentlichung am sp\u00e4ten Freitagabend auch ist, f\u00fcr Apple ist das die Standardvorgehensweise. Die Firma aus dem kalifornischen Cupertino ist bekannt daf\u00fcr, hinter einem Schleier des Geheimnisses zu arbeiten.<\/p>\n
Doch einen Tag nach der Patch-Ver\u00f6ffentlichung kam einiges Interesse daf\u00fcr auf, als bekannt wurde, dass der Fehler nicht nur Apples mobiles iOS<\/a>-Betriebssystem, sondern auch das traditionelle OSX<\/a> betraf. Die Geschichte entwickelte sich in der letzten Woche weiter, als klar wurde, dass ein unheimlich \u00e4hnlicher Fehler in GnuTLS zu finden war<\/a>, einer kostenlosen Open-Source-Software, die zur Implementierung von Verschl\u00fcsselung in verschiedenen Linux-Varianten und anderen Plattformen verwendet wird.<\/p>\n Als die Fehler von immer mehr Menschen untersucht wurden (vor allem der Apple-Fehler), wurden immer mehr Stimmen von Medien und Forschern laut, die das Ganze als Trick bezeichneten. Bruce Schneier, einer der weltweit f\u00fchrenden Verschl\u00fcsselungs- und Sicherheits-Experten, beschrieb die Sicherheitsl\u00fccke folgenderma\u00dfen<\/a>:<\/p>\n \u201eDer Fehler ist subtil und beim Pr\u00fcfen des Codes kaum zu entdecken. Man kann sich leicht vorstellen, wie das aus Versehen passiert konnte. Und es w\u00e4re f\u00fcr eine einzige Person trivial leicht gewesen, die Sicherheitsl\u00fccke hinzuzuf\u00fcgen. Wurde es absichtlich gemacht? Das kann ich nicht sagen. Aber wenn ich so etwas absichtlich machen wollte, w\u00fcrde ich es genau so machen.\u201c<\/p>\n Andere Forscher waren direkter und sagten, dass die Programmierfehler, die zu dem Apple-Fehler f\u00fchrten \u2013 der auch als \u201egoto fail\u201c bezeichnet wurde \u2013 fast unm\u00f6glich gemacht werden k\u00f6nne und bei der Code-Pr\u00fcfung noch schwerer zu \u00fcbersehen sei. Im derzeitigen politischen Klima und dem m\u00f6glichen Nutzen der \u201eGoto-Fail\u201c-Sicherheitsl\u00fccke, haben viele spekuliert, dass sowohl der Apple- als auch der GnuTLS-Fehler f\u00fcr jeden Spion sehr wertvoll w\u00e4re.<\/p>\n Doch w\u00e4hrend sie zweifelsohne fast gleichzeitig entdeckt wurden und eine \u00e4hnliche Wirkung haben, so sind doch beide auf recht unterschiedliche Weise entstanden. Matthew Green von der Johns Hopkins University<\/a>, ebenfalls ein bekannter Verschl\u00fcsselungs-Experte, hat den GnuTLS-Fehler untersucht und glaubt, dass es ein \u2013 wenn auch dummer \u2013 Programmierfehler ist.<\/p>\n Von Verschw\u00f6rungstheorien abgesehen, bedeutet dieser Crypto-Validierungsfehler in GnuTLS, dass alle Desktop- und Serverprodukte von Red Hat, sowie alle Debian- und Ubuntu-(Linux)-Installationen den Fehler enthalten, der zur \u00dcberwachung der Kommunikation auf diesen Maschinen ausgenutzt werden kann. Er betrifft alle Systeme auf allen Ebenen. Nicht nur sichere Internet-Sessions (angezeigt durch das \u201ehttps\u201c in der Adresszeile) w\u00e4ren betroffen, sondern auch alle Programme, Downloads und jede andere verschl\u00fcsselte Kommunikation, die GnuTLS nutzt.<\/p>\n Man muss aber dazusagen, dass ein Angreifer Zugriff auf das lokale Netzwerk seines Opfers haben m\u00fcsste, um einen dieser Fehler ausnutzen zu k\u00f6nnen. Doch unter den passenden Umst\u00e4nden, k\u00f6nnte ein Angreifer dar\u00fcber eine Man-in-the-Middle<\/a>-Attacke durchf\u00fchren, bei der das Opfer meint, es w\u00fcrde mit einem vertrauensw\u00fcrdigen Online-Service kommunizieren, in Wirklichkeit aber Daten direkt an den Angreifer schickt. Beide Fehler bieten damit eine f\u00fcr Kriminelle ideale M\u00f6glichkeit, Login-Daten zu stehlen und die lokale Netzwerkkommunikation zu \u00fcberwachen.<\/p>\n