OpenSSL-Lücke: Programmierer bezeichnet Heartbleed als Versehen

Robin Seggelmann, der zuerst die Heartbeat-Funktion in OpenSSL eingebaut hatte, die jetzt als gravierende Sicherheitslücke bekannt ist, hat sich erstmals zur Entstehung des Fehlers geäußert. In einem Gespräch mit der australischen Zeitung Sydney Morning Herald hat er den Bug als Versehen bezeichnet.

Seggelmann arbeitete Anfang 2012 an OpenSSL, bereinigte einige andere Fehler, und baute die neue Funktion Heartbeat ein. Mit diesem Begriff werden allgemein Anfragen von Protokollen bezeichnet, die nötig sind, um Timeouts zu verhindern. Der Heartbeat hält die Verbindung dabei aufrecht.

Dabei, so Seggelmann, habe er aber eine Variable eingeführt, deren Länge das Programm nicht überprüft habe. Dieser Fehler ließ sich dann für die jüngst bekanntgewordene Sicherheitslücke ausnutzen. Der Bug wurde auch bei einem Review durch einen anderen Programmierer nicht gefunden, und so wurde er auch in die veröffentlichte Version 1.0.1 von OpenSSL aus dem März 2012 übernommen. Zwei Jahre blieb der Fehler danach unbemerkt.

Der Entwickler beteuert in dem Interview, dass er bis zur Entdeckung der Lücke keine Kenntnis von ihrer Existenz gehabt habe. Auch seine vor allem in Foren oft unterstellte Verbindung zu Geheimdiensten, die SSL-Verbindungen durch den Fehler oder Hintertüren aushebeln könnten, weist Seggelmann von sich. Er hatte und habe keine Verbindung zu solchen Behörden, so der Programmierer.

Um solche in ihrer Auswirkung dramatischen Fehler in Zukunft zu vermeiden, sollten Seggelmann zufolge mehr Entwickler an solchen sicherheitsrelevanten Programmteilen mitarbeiten und gegenseitig den Code prüfen. Millionen Anwender nutzten Programme wie OpenSSL, aber nur sehr wenige trügen zur Weiterentwicklung bei.