Der Heartbleed-Bug: Eine kritische Sicherheitslücke in OpenSSL
Unabhängige Rechercheure sind auf eine kritische Sicherheitslücke in der weithin beliebten Verschlüsselungssoftware-Bibliothek OpenSSL gestoßen. Nach deren Angaben kann durch diese Sicherheitslücke „jeder im Internet den Speicher von Systemen auslesen, die mit den anfälligen Versionen von OpenSSL geschützt sind“.
Was ist betroffen?
Angreifer könnten sich durch Ausnutzen von CVE-2014-0160, oder des Heartbleed- Bugs folgendes aneignen:
- Primäre Schlüsseldaten – Dies sind die Geheimschlüssel, mit Hilfe derer Websites verschlüsselte Informationen auslesen können, die ihre Nutzer bei Übertragungen mittels TLS/SSL senden.
- Sekundäre Schlüsseldaten – Dies sind Zugangsdaten, die bei TLS/SSL-Übertragungen übertragen werden, wie z. B. Benutzernamen und Passwörter.
- Geschützte Inhalte – Dies sind die Inhalte, die bei einer TLS/SSL-Übertragung übertragen werden und eigentlich durch die geheimen Schlüssel geschützt werden sollen. Dies ist alarmierend, da die meisten verschlüsselten Daten – wie Kontodaten und dergleichen – verschlüsselt werden, da es sich um sensible Daten handelt.
- Kollateralschäden – Hierbei handelt es sich um die technischen Daten im Zusammenhang mit einem OpenSSL-Benutzerkonto, wie z. B. Speicheradressen und benutzerspezifische Sicherheitseinstellungen.
Wie kann ich das Problem beheben?
Jeder Nutzer, der OpenSSL 1.0.1 bis (einschließlich) 1.0.1f verwendet, ist betroffen und sollte umgehend auf OpenSSL 1.0.1g aktualisieren. Sollte dies nicht möglich sein, sollten Nutzer OpenSSL mit -DOPENSSL_NO_HEARTBEATS
neu kompilieren.
Es ist ebenso von größter Wichtigkeit, alle betroffenen primären und sekundären Schlüsseldaten mit Hilfe Ihrer Zertifizierungsstelle aus dem Verkehr zu ziehen. Obwohl der Heartbleed-Bug erst kürzlich von unabhängigen Sicherheitsexperten bei Codenomicon entdeckt wurde, klafft die Sicherheitslücke bereits seit dem 14. März 2012. Niemand kann sagen, ob Heartbleed während dieser Zeit bereits ausgenutzt wurde und ob es gar in der Natur der Sicherheitslücke liegt, dass Angreifer alle Beweise für einen Speicherzugriff verschleiern konnten.
Noch alarmierender ist die Tatsache, dass es sich bei OpenSSL um den beliebtesten Open-Source-Verschlüsselungsdienst handelt, der heutzutage im Internet Verwendung findet. Bedenkt man die langen zwei Jahre, die Heartbleed unentdeckt geblieben ist, könnte Heartbleed eine unglaubliche Mengen an Informationen kompromittiert haben – aber auch vielleicht gar keine. Das wahre Ausmaß der Schadens hängt in der Tat davon ab, ob jemand da draußen von Heartbleed wusste. Jetzt da die Sicherheitslücke publik gemacht wurde, müssen Anbieter, die eine betroffene Version von OpenSSL verwenden, umgehend handeln, da sonst alle Daten auf ihren Servern einer großen Gefahr ausgesetzt sind.
Wo kann ich weitere Informationen finden?
Codenomicon hat eine detaillierte Abhandlung über Heartbleed unter http://heartbleed.com/ veröffentlicht.
Dort finden Leser offizielle Informationen zu dem Bug, wie man sich seiner entledigt sowie zusätzliche Links zu Kommentaren anderer Organisationen, darunter Aussagen von Cloudflare, dem Tor-Projekt und Ubuntu.
Wir wünschen eine schöne (Malware-freie) Zeit!
NACHTRÄGE:
Vorsichtigen Schätzungen zufolge sind etwa 2/3 aller Webserver von Heartbleed betroffen.
Server lassen sich hier auf die Sicherheitslücke testen: http://filippo.io/Heartbleed/
Eine laufend aktualisierte Liste beliebter Websites, die von der Sicherheitslücke betroffen sind, findet sich bei GitHub unter: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt. Leser seien darauf hingewiesen, dass Yahoo.com, Eigentümer einer der beliebtesten E-Mail-Dienste, Yahoo Mail, die Liste anführt.