[Recht & Politik] Bericht: NSA nutzte "Heartbleed" seit Jahren aus

Prince · 12.04.14, 06:34

Zitat:

Die amerikanische National Security Agency (NSA) hat nach Angaben des US-Wirtschaftsdienstes Bloomberg die "Heartbleed" getaufte schwerwiegende Schwachstelle in OpenSSL bereits seit Jahren ausgenutzt. Die Behörde habe dennoch weder betroffene Firmen, noch die Öffentlichkeit informiert.

Wie Bloomberg unter Berufung auf zwei mit den Hintergründen vertraute Quellen berichtet, soll die NSA bereits seit mindestens zwei Jahren von der "Heartbleed"-Lücke in OpenSSL wissen. Die Schwachstelle sei regelmäßig verwendet worden, um an "kritische" Erkenntnisse zu gelangen, heißt es. Die Behörde verschaffte sich so Passwörter und andere "grundlegende Daten", um auf dieser Basis ihre umfangreichen Angriffe zu starten.

Angeblich ist "Heartbleed" nur eine von mehreren Tausend anderen Schwachstellen, auf die die NSA immer wieder zurückgreift, um sich Zugriff auf Computer in aller Welt zu verschaffen. Im Fall der erst wenigen Tagen weltweit bekannt gewordenen schweren Lücke in OpenSSL dürfte die NSA das Problem früh entdeckt und sich über Jahre hinweg darauf gestützt haben - schließlich wurde der entsprechende Code erst 2012 geschrieben.

Dass die Geheimdienstler von dem Fehler schon seit Jahren wussten, würde allerdings auch bedeuten, dass auch jene Website-Betreiber, die über das Problem zuerst im Geheimen informiert wurden und umgehend reagierten, zuvor lange nicht gegen eventuelle Attacken geschützt waren. Dies gilt zum Beispiel für Google Mail oder die Cloud-Dienste von Amazon und anderen Anbietern.

Weil die Webseitenbetreiber ihre Systeme erst in der letzten Woche gegen den Fehler absicherten, hatte die NSA somit die Möglichkeit, rund zwei Drittel aller Server anzugreifen, die mit einer Verschlüsselung arbeiten, da diese OpenSSL nutzen und somit anfällig waren oder es immer noch sind. Die NSA muss nun rechtfertigen, wie ihre Aufgabe des Schutzes der US-amerikanischen Bevölkerung damit zu vereinbaren ist, dass man die Schwachstelle geheimhielt, um sich einen Vorteil zu verschaffen - und damit die Nutzer gleichzeitig möglichen Angriffen durch Dritte aussetzte.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Webapache · 12.04.14, 10:00

Die NSA war noch nie eine "Heimatschutzbehörde". Genauso wenig wie ein einziger Präsident der U.S.A. ehrliche Absichten hatte. Genauso wenig wie irgendein Politiker die Wahrheit sagt etc. Wir sollten es einfach akzeptieren. Wir sind von Lügnern, Betrügern und Banditen umgeben. Es fragt sich nur, wer der schlimmste von allen ist. Also, statt irgendjemandem eine weise Weste anziehen zu wollen, und darauf zu hoffen irgendwo in den Wirren der Welt einen ehrlichen Mitarbeiter in leitender Position zu finden, sollte man lieber davon ausgehen, das wir von Morgens bis Abends 365 1/4 Tage im Jahr belogen, beschissen und betrogen werden. Dann muss man auch nicht erstaunt über eine Entlarvung sein.

hasennase · 13.04.14, 12:41

jeder regierungschef ist einzig und zu allererst seinem amtseid verpflichtet und ALLES zu tun um gefahr für sein volk abzuwenden. Ob links oder rechts, osten oder westen. es ist weltfremd und absurd dies zu ignorieren.
der amerikanische präsident macht das genauso wie der russsiche oder der chinesische.
dieses rumgedröne und die manische fixierung auf NSA Obama ist peinlich dumm und zeugt von tunnelblick.

Melvin van Horne · 13.04.14, 14:17

Moin,

in diesem Zusammenhang bewundere ich die Briten. Glaubt man den Berichten sind sie in Europa genau so stark am schnüffeln wie die Amis. Manche behaupten sogar das sie bestimmte Bereiche stärker bearbeiten als die Typen aus Fort Meade.

Aber in einem Punkt haben sie Glück. Für uns deutsche kommt das schlechte aus Amerika.

TinyTimm · 14.04.14, 01:49

Zitat:

Der "Heartbleed"-Bug und die NSA

Der Fehler im Verschlüsselungsprotokoll OpenSSL sieht einer bereits nachgewiesenen NSA-Hintertür strukturell sehr ähnlich, unterscheidet sich aber in einem wichtigen Punkt.

Zur laufenden Debatte, ob der fatale "Heartbleed Bug" nun eine absichtlich gesetzte Hintertür oder doch ein bloßer Designfehler in einer Erweiterung zum TLS/SSL-Protokoll ist, lässt sich nun Einiges bereits mit Sicherheit sagen. Von Auswirkung und "Machart" sieht der Heartbleed Bug nachgerade wie eine prototypische NSA-Backdoor aus, die im Rahmen des berüchtigten "Bullrun"-Programm der NSA gezielt in Verschlüsselungsstandards eingeschleust wurde.

Obendrein gibt es auffällige, stukturelle Parallelen zwischen "Heartbleed" und einer nachgewiesenermaßen von der NSA gesetzten "Backdoor" im selben TSL/SSL-Protokoll. Ein internationales Team akademischer Kryoptographen hat diese Hintertür gerade in mühsamer Kleinarbeit analysiert. Der "Heartbleed"-Bug unterscheidet sich von dieser echten Hintertür in einem entscheidenden Punkt, der dagegen spricht, dass "Heartbleed" in dieselbe Kategorie fällt. (siehe weiter unten).

Bei der Recherche zum Thema hat der Wiener Sicherheitsforscher Michael Kafka nun quasi nebenbei herausgefunden, dass dieses heimtückische NSA-Programm bereits wesentlich länger läuft, als bis jetzt angenommen wurde. Der (virtuelle) Ort der Handlung ist ebenfalls derselbe wie das Setting rund um den "Heartbleed"-Bug. Alle in Folge geschilderten Vorgänge sind in jenem Gremium passiert, aus dem sämtliche Internetstandards stammen, der Internet Engineering Task Force (IETF).

Das "Bullrun"-Programm der NSA

Im Rahmen von "Bullrun", das gerade unter Netzwerkern und Sicherheitsspezialisten für besondere Empörung gesorgt hat, schleusen NSA-nahe Techniker möglichst plausibel wirkende Änderungen und Erweiterungen in bestehende Verschlüsselungsprotokolle ein, um diese auszuhebeln. Vom Phänomen passt der "Heartbleed"-Bug hier also ganz exakt ins Schema: Mit TSL/SSL betrifft er noch dazu jenes Protokoll, auf dem so gut wie alle Verschlüsselungsvorgänge im Internetverkehr aufsetzen.

Der gravierende Designfehler ist nämlich nicht erst in der Umsetzung in der verbreiteten "OpenSSL"-Version entstanden, er ist vielmehr bereits in der übergeordneten Protokollerweiterung "Heartbeat" selbst angelegt. In beiden Fällen war der deutsche Techniker Robin S. maßgeblicher Autor, sowohl die "Heartbeat-Erweiterung" zum TLS/SSL-Protokoll wurde von ihm eingebracht, wie er auch für die praktische Umsetzung in OpenSSL verantwortlich zeichnet.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Diagnose Herzblutung

An dieser Schlüsselpassage der "Heartbeat"-Erweiterung zum TLS/SSL Protokoll gibt es für den Sicherheitsexperten Kafka gleich mehrere Auffälligkeiten. Zum einen sei es ziemlich ungewöhnlich, dass einer Protokollerweiterung, die eigentlich nur dazu dienen solle, dass der Server die Verbindung während des Verschlüsselungsvorgangs nicht abbreche, gleich 16 Bit zugewiesen werden, sagte Kafka zu ORF.at.

Mit diesen "Heartbeat Messages" solle ja nur ein Art "ping" an den Server gehen, um zu verhindern, dass ein Abbruch eine Neuaushandlung eines Schlüssels für die aktuelle Session erzwingt", sagte Kafka. Zweck der "Heartbeat"-Erweiterung sei es ja, zu vermeiden, dass mehrere Aushandlungsverfahren für diese temporären Schlüssel pro "Session" nötig werden.

Fatale Großzügigkeit

Ebenso ungewöhnlich, weil wenig sinnhaft für den ursprünglichen Zweck sei, dass neben dem eigentlichen "Ping"-Befehl selbst auch noch frei definierbare Variablen gesetzt werden müssten. "Weist man dem Vorgang obendrein noch 16 Bit zu, dann können damit 64 Kilobyte angesteuert werden.", so Kafka weiter: "Hier war man bereits auf Standardebene wohl etwas zu großzügig".

Diese "Generosität" führt dazu, dass ein Angreifer den eigentlichen Befehl mit einer falschen Angabe über "payload lenghth" (Paketgröße), das ist die Anzahl der im Befehl verwendeten Buchstaben, kombinieren kann. In Folge läuft ein"Stack" im Server über und der wirft 64 Kilobyte seines RAM-Speichers an den Angreifer aus. Daher kommt auch der Name "Heartbleed", denn wiederholte Angriffe bringen den Server dazu, den jeweiligen RAM-Inhalt in 64-KB-Paketen nacheinander auszuspucken. Fatalerweise ist irgendwann auch der geheime Schlüssel des Servers mit dabei. Von da an ist der betreffende Rechner restlos und dauerhaft kompromittiert, so, als würde keine Verschlüsselung verwendet.
Parallelen zu einer echten Backdoor

Der Anfang April veröffentlichte Bericht des internationalen Kryptografenteams über nachweislich von NSA-Technikern im selben Protokoll an anderer Stelle eingebrachte Erweiterungsvorschläge ist in diesem Zusammenhang besonders interessant. Die Spezialisten rund um den Kryptografieprofessor Matthew Green unterziehen da einen bereits seit längerem als verdächtig geltenden Generator von (Pseudo-)Zufallszahlen namens "Dual EC DRBG", der ebenfalls von NSA-Technikern stammt, einem Feldversuch. Mit dem Grad an eingebrachter Zufälligkeit steht und fällt jeder Verschlüsselungsvorgang, sind diese Zahlen nämlich berechenbar, nützt auch der sicherste Schlüssel nichts.

Dass Dual-EC-DRBG aufgrund seiner integrierten Gleichungen für elliptische Kurven hier eklatante Schwächen hat, wurde bereits 2008 erstmals ruchbar. Die Folge war, dass Dual-EC-DRBG keine besonders große Verbreitung in den Umsetzungen fand, weil man dafür eben andere Zahlengeneratoren verwendete. Die führende Verschlüsselungsfirma RSA setzte ihn jedoch in mehreren Produkten trotzdem ein, da es sich bei "Dual EC DRBG" eben um eine Norm des "National Standards Institute" der USA handelte.

Aus den oberen Etagen der NSA

Im Jahr 2008 wurde in der IETF nun eine Erweiterung zum TLS/SSL-Protokoll namens "Extended Random" vorgeschlagen. Auch dieser Entwurf stammt von der NSA, allerdings nicht von irgendeinem Techniker. Als Co-Autorin ist Margaret Salter ausgewiesen und die ist technische Leiterin des "Information Assurance Directorate" (IAD).

Das ist eine der beiden Hauptabteilungen, aus denen die NSA besteht. Während das "Signal Intelligence Directorate" (SIGINT) der NSA für Spionage zuständig ist, ist das IAD mit der Absicherung der eigenen Informationslinien gegen Spionage betraut. "Extended Random" stammt also nachgewiesenermaßen aus der obersten Etage der NSA-Führung.
Verblüffende Knackeffekte

Der Zwischenbericht des Kryptografenteams brachte Anfang April zwei grundlegende Erkenntnisse. In einem Feldversuch mit einem speziell zum Brechen von Algorithmen optimierten Rechnercluster im Gegenwert von 40.000 Dollar gelang es den Kryptografen, einen Verschlüsselungsvorgang, der seine Zufallselemente aus dem Dual EC DRBG bezog, innerhalb von 90 Minuten zu knacken. Das entsprach etwa den Prognosen; die eigentliche Überraschung passierte aber erst, als die Protokollerweiterung "Extended Random" zusätzlich implementiert wurde.

Die Prozedur, um den verwendeten Schlüssel herauszurechnen, wurde durch "Extended Random" um den Faktor 65.000 beschleunigt, was große Verblüffung unter den Forschern zur Folge hatte. Die auf weniger als drei Sekunden reduzierte "Knackzeit" dieser Kombination hätte nämlich dafür gesorgt, dass die NSA Serverschlüsselungen quasi am Fließband knacken kann. Der Protokollerweiterung "Extended Random" für TLS/SSL selbst war diese verblüffende Wirkung ebenso wenig anzusehen, wie man vornherein gemutmaßt hätte, dass eine fehlerhafte Implementation der "Heartbeat"-Erweiterung dazu führen kann, dass ein entsprechend angegriffener Server mit dem Auswerfen von 64 Kilobyte seines RAM-Zwischenspeichers reagiert.

Der Ursprung des "Bullrun"-Programms

"Der Angriff besteht hier aus zwei Elementen", sagte Kafka, "ein insgesamt schwacher Krypto-Algorithmus wird durch eine Schwächung auf Ebene des TLS/SSL-Protokolls durch Extended Random kompromittiert. Etwa 40 Prozent der "Zutaten" für die Zufallszahlen sind einem Angreifer nämlich von vornherein bekannt, weil sie noch vor dem Verschlüsselungsvorgang im Klartext übertragen werden."

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]