„Codenomicon CEO David Chartier told Bloomberg that his team then immediately went to work on a marketing plan.“ aus dem Zdnet.com-Artikel (Bildquelle: Heartbleed.com)

Können Sie sich noch an Heartbleed erinnern? Die gleichnamige Sicherheitslücke im Open-SSL-Verschlüsselungsverfahren (um es mal einfach zu beschreiben) beschäftigte die IT-Welt im Frühling über mehrere Wochen aufs Schwerste. Was auch in Ordnung war, denn diese Lücke war während 27 Monaten unentdeckt geblieben und weltweit verbreitet… Ich kann mich auch noch gut erinnern, wie man darüber gerätselt hatte, dass die Lücke gleichzeitig von einer finnischen Sicherheitsfirma und einem Google-Mitarbeiter entdeckt wurde.

Sicherheitshinweis und Patch – brought to you by NSA
Ein kürzlich hochgeladenes Video auf Youtube erklärt zumindest den einen Teil dieser Doppelentdeckung. Darin plaudert Admiral Mike Rogers, Chef der NSA, darüber, wie die NSA die Lücke am 07. April 2014 entdeckt hatte und gleich am nächsten Tag an Google bekannt gab, damit sie geschlossen werden konnte. Natürlich schickte die NSA grosszügiger Weise auch gleich einen Patch für die Software mit. Wie praktisch für uns alle.

Dem geschenkten Gaul ins Maul schauen
Die grossartige Transparenzbezeugung von Rogers sollte nicht darüber hinwegtäuschen, wie wenig wir doch wissen, wie solche Sicherheitslücken entstehen und warum sie wann veröffentlicht werden. Ausserdem hat Rogers uns noch mitgeteilt auf welchen Kriterien die Entscheidung beruht, ob Sicherheitslücken für die Spionagetätigkeiten der NSA genützt werden. Sie sind, sagen wir mal, relativ schwammig und situativ… So wie Wohltäter halt sind.

Mehr:

Hier geht’s zur Einschätzung von Bruce Schnier, wie Hersteller von Virenschutzsoftware mit ihrem Wissen über Malware umgehen.

Eine Zusammenfassung der Ereignisse, wie die Sicherheitslücke Heartbleed entdeckt und gleich kommerzialisiert wurde; von Zdnet.com vom 25. November 2014

Hier die ganze „Stanford Community Lecture“ mit NSA Director Admiral Mike Rogers