Nach Heartbleed: OpenSSL-Projekt bittet um Unterstützung

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Nach der großen öffentlichen Aufmerksamkeit, die nach dem Heartbleed-Bug auf das OpenSSL-Projekt gerichtet ist, wollen die Verantwortlichen nun strukturelle Konsequenzen ziehen. Der für die Finanzen des Projektes verantwortliche Steve Marquess bittet deswegen die Öffentlichkeit im Namen des Projektes um Hilfe – es benötige Spenden, um mehr Entwickler in Vollzeit zu beschäftigen.

In den vergangenen Tagen hat das OpenSSL-Projekt laut Marquess bereits über 9000 US-Dollar an Privatspenden aus aller Welt erhalten. Das reiche aber nicht aus, Förderer aus der Wirtschaft und der Regierung seien gefragt. Das Projekt benötige "mindestens ein halbes Dutzend Vollzeit-Mitglieder". Momentan ist Dr. Stephen Henson der einzige von der OpenSSL Software Foundation direkt angestellte Mitarbeiter.

Kritik an den verantwortlichen Entwicklern

Henson hatte auch den fatalen Heartbeat-Patch am 1. Januar 2012 in den Programmcode eingepflegt, aus dem die Heartbleed-Lücke hervorgegangen war. Nachdem die Lücke öffentlich wurde, waren sowohl der deutsche Programmierer, der den Patch geschrieben hatte, als auch Henson in die Kritik geraten. Unter anderem wird spekuliert, Heartbleed sei eine vorsätzlich eingebaute Hintertür. Der damals im Rahmen eines Forschungsprojektes an der FH Münster tätige Programmierer arbeitet mittlerweile bei der Telekom und gab zu Protokoll, der Heartbleed-Bug sei ein Programmierfehler gewesen. Ein Fehler, den auch Henson übersehen habe.

In seinem Aufruf an die Öffentlichkeit sagt Marquess, dass er Henson als sehr fähigen Spezialisten schätze, der wie andere Entwickler des Projektes seine Arbeit aus Verantwortungsbewusstsein und handwerklichem Stolz mache. Im Vergleich mit kommerzieller Software werde OpenSSL wahrscheinlich immer über weniger Ressourcen verfügen, trotzdem müsse aber die jetzige Situation dringend verbessert werden.

Geringe Personaldichte als Strukturproblem

Auf den ersten Blick unterscheidet sich der Entwicklungsprozess der OpenSSL-Bibliothek nicht von vielen anderen Open-Source-Projekten. Änderungen werden auf einer öffentlichen Mailingliste diskutiert, verbessert und schließlich von einem Maintainer mit den entsprechenden Commit-Rechten in den öffentlichen Quellcode eingepflegt. Das war auch bei der Hearbeat-Funktion der Fall. Allerdings ist es auffällig, wie wenig Entwickler regelmäßig an diesem Prozess beteiligt sind, besonders im direkten Vergleich zu einem Projekt wie dem Linux-Kernel.

Gerade bei so sicherheitsrelevantem Code wie der OpenSSL-Bibliothek könnten mehr Entwickler mit mehr Zeit für das Projekt dafür sorgen, dass Patches systematisch auf Sicherheitslücken geprüft werden. Ein Pufferüberlauf wie bei Heartbleed ist letztlich ein Programmierfehler, der immer wieder vorkommt. Mehr Geld und bessere Strukturen könnten aber dazu führen, dass der nächste Fehler dieser Art abgefangen wird, bevor er in dem Code landet, der geschätzte zwei Drittel des SSL-Verkehrs im Internet stützt. (fab)