Seite 3: Angst vor der NSA

Inhaltsverzeichnis

Mac & i: Es scheint sich um einen eher trivialen Fehler zu handeln – der Entwickler wiederholte ja wie erwähnt eine goto-Anweisung. Wie ungewöhnlich sind solche Bugs?

Esser: Dieser Fehler sieht sehr merkwürdig aus, wenn man den offenen Quelltext von OS X 10.8.5 und 10.9 vergleicht, da an dieser Stelle wirklich nur eine Zeile verdoppelt wurde. Normalerweise würde so ein Fehler bei normaler Entwicklung nicht passieren, da das Einfügen dieser einen Zeile keinen Sinn macht. Man muss hier jedoch beachten, dass man nicht sehen kann, welche Revisionen intern zwischen diesen beiden Releases existieren.

Es könnte sein, dass ein Programmierer ein Stück Code eingefügt hat und beim Herausnehmen später die einzelne Zeile vergessen wurde. Es könnte aber auch sein, dass Apple tatsächlich versucht, die unterschiedlichen Codebäume wieder zusammenzuführen und diese Verdoppelung durch ein automatisches "Mergen" der Codebäume entstanden ist. Wir Außenstehende werden das jedoch nie erfahren.

Mac & i: Es gibt auch Verschwörungstheorien, das dahinter die erwähnte NSA stecken könnte.

Esser: Nachdem die Snowden-Leaks bestätigt haben, dass die NSA ein Budget dafür hat, gezielt Hintertüren in Produkte einzubauen, liegen solche Verschwörungstheorien natürlich nahe. Aber die meisten Leute vergessen, dass die NSA nicht der einzige Geheimdienst sind. Und gerade wenn es wie hier um das Einfügen eine einzigen Codezeile in den SSL-Code geht, gibt es sicherlich viele Möglichkeiten, dies zu tun.

Genauso könnte das verseuchte Notebook eines Apple Mitarbeiters schuld sein, welches von der XYZ-Regierung oder einer anderen Gruppierung gehackt wurde. Oder aber hier ist wirklich nur ein Auto-Merge-Tool schuld an der Sache. Wir werden das nie erfahren, außer Apple gibt die Ergebnisse der internen Untersuchung preis, die sie sicherlich gestartet haben.

Mac & i: Der Code für das entsprechende Framework liegt quelloffen vor. Hätte man ihn so nicht vergleichsweise leicht entdecken können?

Esser: Ich habe gerade nochmals nachgeschaut. Der Quelltext von OS X Mavericks wurde am 24. Oktober 2013 veröffentlicht. Das heißt: Vis heute sind gerade einmal vier Monate vergangen. Der CVE-Eintrag für die SSL-Verwundbarkeit wurde laut Berichten schon am 8. Januar von Apple reserviert. Also scheint Apple knapp 2,5 Monate nach der Veröffentlichung der Quellen von der Verwundbarkeit erfahren zu haben. Sie haben diesmal niemandem für diese Lücke gedankt. Das kann heißen, dass derjenige entweder nicht genannt werden möchte, oder aber dass die Lücke intern gefunden wurde. Bisher gab es glaube ich noch keine Aussage dazu.

Es dauert in der Regel eine Zeit lang, bis Lücken in quelloffenen Produkten gefunden werden, da die Menge an quelloffenem Code ziemlich groß ist und die Zahl der qualifizierten Auditoren, die kostenlos in ihrer Freizeit prüfen, klein ist. Und diese Zahl wird immer kleiner, je mehr große Firmen Bug-Bounties vergeben, da die Hobby-Sicherheitsforscher dann eher dort auditieren, wo sie vielleicht auch noch eine kleine Geldprämie kriegen können. Daher sind eine Lebenszeit von vier Monaten für eine Sicherheitslücke in einem quelloffenden Produkt nicht wirklich viel.

Mac & i: Wie bewerten Sie Apples Reaktionsgeschwindigkeit?

Esser: Neutral formuliert kann man sagen, dass Apple unter Sicherheitsforschern nicht als Musterbeispiel für Reaktionsgeschwindigkeit gilt. (bsc)