Wie Google und sechs Finnen gleichzeitig "Heartbleed" entdeckten

13. April 2014, 14:22
27 Postings

Die finnische IT-Firma Codenomicon entdeckte den Bug am Freitag, 2 Tage später wurde "CVE-2014-0160" zu "Heartbleed"

David Chartier ist nicht leicht aus der Ruhe zu bringen. Seit über 20 Jahren leitet er die Geschicke der IT-Firma Codenomicon und wird beinahe täglich mit Bugs konfrontiert. Das Unternehmen ist weltweit tätig, unterhält neben dem Silicon Valley, wo Chartier tätig ist, auch Niederlassungen in beispielsweise Shanghai oder Delhi. Sein Hauptquartier hat Codemicon aber in Finnland, von wo aus ein aufgeregter Entwickler am Freitag bei Chartier anrief.

Eigene Website attackiert

Er habe sofort gewusst, dass dies kein gewöhnlicher Bug sei, soll Chartier später erzählen. Dem Entwickler trug er auf, sofort die eigene Website zu attackieren und ihn dann über Resultate zu informieren. Wenig später kam ein neuer Anruf aus Finnland: Durch die entdeckte Lücke sei es möglich gewesen, Daten, Verschlüsselungs-Keys, Usernamen und Passwörter auszulesen. "Und noch eine Menge an anderer Sachen, die wir aber nicht bekanntgeben dürfen", so Chartier, was vermuten lässt, dass die Heartbleed-Lücke noch nicht überstanden ist. Chartier: "Wir wussten sofort, wie kritisch dieser Bug war."

Die ersten 24 Stunden entscheiden

Codenomicon war klar, dass die nächsten 24 Stunden entscheidend seien: Er ordnete höchste Geheimhaltung an und wies seine Entwickler an, sofort einen Bug-Fix zu entwickeln. Gemäß Protokoll musste das finnische Krisenzentrum CERT informiert werden, das wiederum die Verantwortlichen bei Open SSL vom Bug in Kenntnis setzte. Über verschlüsselte Chats koordinierte man die Krisenstrategie.

Google entdeckt Bug zeitgleich

Zeitgleich entdeckte Googles Sicherheitsforscher Neel Mehta ebenfalls die Lücke und informierte Open SSL. Laut Vocativ.com eine bizarre und "höchst überraschende" Synchronität: Der Bug existierte seit März 2012, wurde aber am selben Tag von zwei unabhängigen Instanzen entdeckt.

PR-Kampagne

Fortan war Google mit an Bord. Klar war, dass die Öffentlichkeit umfassend und eindringlich über die Lücke informiert werden musste. Ein Problem: "Updates erscheinen jeden Tag", so Chartier, "viele beachten sie daher nicht weiter." Man beschloss daher, eine PR-Kampagne zu planen, um Aufmerksamkeit für die Sicherheitslücke zu generieren.

CVE-2014-0160

Zuerst musste ein passender Name gefunden werden: Der Bug war bislang wenig eingängig unter "CVE-2014-0160" bekannt, am Samtag hatte man sich geeinigt, ihn auf "Heartbleed" umzubennen. Ein finnischer Entwickler habe den Namen kreiert, so Chartier, es handle sich um ein Wortspiel, das sich auf die Open SSL-Erweiterung "Heartbeat" beziehe. "Heartbleed bedeutet, dass die wichtigsten Informationen, also das Herz, ausblutet", erklärt Chartier.

Heartbleed.com: Einst Treffpunkt für Emos

Schnell wurde ein Logo designt und die Adresse Heartbleed.com erworben, die früher übrigens ein Treffpunkt für Emos gewesen war. Man begann, die Website zu füllen, allerdings fehlte immer noch ein funktionierendes Update. Am Sonntag blieb Chartier daher nichts übrig, außer das Web aufmerksam zu beobachten und zu hoffen, dass die Lücke noch nicht bekannt sei.

"Umgang mit Krise ist hervorragend"

Sonntagabend war es dann so weit: Heartbleed.com ging online und hatte binnen zweier Tage 1,4 Millionen Besucher. Für eine Website, die sich rein mit einem Open SSL-Update beschäftigt, sei dies ein ausgezeichneter Wert, so Chartier. Er nennt die Lücke eine "Katastrophe", den Umgang der IT-Branche damit aber hervorragend. Seine Imagekampagne ist auch gelungen: Mittlerweile weiß nahezu jeder Internetnutzer, was es mit "Heartbleed" auf sich hat.

  • Mittlerweile weiß nahezu jeder, was "Heartbleed" ist: Dafür sorgte die finnische IT-Firma Codenomicon (Bild: Flickr)

    Mittlerweile weiß nahezu jeder, was "Heartbleed" ist: Dafür sorgte die finnische IT-Firma Codenomicon (Bild: Flickr)

Share if you care.