Der Heartbleed Bug

11.04.2014
G DATA Blog

Die aktuellen Nachrichten über die OpenSSL-Sicherheitslücke namens Heartbleed beunruhigen zahlreiche PC-Anwender. Die Sicherheitslücke ist so schwerwiegend, wie eine Sicherheitslücke nur sein kann. Sie ist behoben und Webseiten-Administratoren und Softwareanbieter haben begonnen, ihre OpenSSL-Version zu aktualisieren. Das Problem ist jedoch größer.

Die Auswirkungen dieser Sicherheitslücke sind enorm. Zwei Drittel aller Web-Server verwenden potentiell unsichere Versionen von OpenSSL für die verschlüsselte Kommunikation. Darunter befanden sich Websites wie Google, Gmail, YouTube, Yahoo, Instagram, Pinterest, Tumblr, Doodle, Dropbox, github und viele andere. Die gute Nachricht lautet, dass die Bugs sehr schnell behoben werden konnten. Die SSL-/TLS-Infrastruktur ist jetzt also besser als zuvor.

Die tatsächlichen Auswirkungen dieser Sicherheitslücke sind dagegen unklar. Versionen der Sicherheitslücke reichen zurück bis in den Dezember 2011. Diverse Angriffe, wie etwa der BEAST-Angriff sorgten für eine umfassende, schnelle Verbreitung dieser Versionen. Der Angriff wird in einem von XKCD veröffentlichen Comic, den wir unter diesem Text ebenfalls gepostet haben, verständlich erläutert.
Die Wirkung eines Exploit besteht darin, dass 64 KB Speicherdaten zum Angreifer gelangen, ohne Spuren zu hinterlassen. Mit diesem Exploit erhält man Zugang zu folgenden Daten:

  • Codeschlüssel für verschlüsselten Verkehr (d. h. im Fall des Missbrauchs kann jeglicher SSL-Verkehr entschlüsselt werden)
  • Kombinationen von Benutzernamen und Passwort
  • verschlüsselte Inhalte (je nach Website können dies Mails, Dokumente, Transaktionsdaten, Instant-Messages, usw. sein)

Und genau dieser Umstand macht diesen Bug so besonders. Die potentiell gestohlenen Daten bleiben auch nach der Behebung des Bugs bestehen. Ein Angreifer, der den Codeschlüssel entwendet hat, kann den Verkehr auch entschlüsseln, nachdem der Bug behoben wurde. Wenn ein Angreifer Passwörter entwendet hat, kann er immer noch auf die Accounts zugreifen und sie missbrauchen. Derzeit gibt es keinerlei Anzeichen, dass Daten aus solchen Quellen auf den Cyber-Kriminalitäts-Schwarzmärkten gehandelt werden. Denkt man jedoch an die Snowden-Enthüllungen, erscheint die Situation in einem anderen Licht. Wenn Geheimdienste diese Sicherheitslücke genutzt haben/hätten, wären sie in der Lage, z. B. die E-Mail-Kommunikation trotz SSL-Verschlüsselung weiterhin zu überwachen. Wenn Benutzerdaten entwendet wurden, wäre es möglich, Daten aus dem betreffenden Account, z. B. aus Pinterest oder Dropbox, zu stehlen.

Neben der Behebung der Server-Probleme könnte es also erforderlich sein, dass die Anbieter ihre Codeschlüssel ändern. Endanwender sollten die Passwörter möglicherweise betroffener Accounts ändern.

Um es deutlich zu machen: es gibt keinerlei Beweis dafür, dass irgendjemand diese Sicherheitslücke ausgenutzt hat. Vielleicht ist auch gar nichts passiert. Wenn jedoch die Snowden-Affäre Ihre Paranoia verstärkt hat, sollten Sie eventuell Ihre Passwörter ändern (natürlich erst, nachdem der Bug auf dem Server behoben wurde). Übrigens: Passwörter regelmäßig zu wechseln ist generell keine schlechte Idee.

Einige abschließende Bemerkungen:

  • Dieser Bug in OpenSSL bedeutet nicht, dass Verschlüsselung nutzlos ist. TLS ist nicht am Ende, sondern nach wie vor ein wichtiger, notwendiger Schritt für den Datenschutz
  • Hier können Sie testen, ob auf einem Web-Server eine Sicherheitslücke besteht: filippo.io/Heartbleed/
  • Die Verwendung von OpenSSL geht weit über die HTTPS-Kommunikation hinaus, wie SANS berichtet.
  • Unsere Web-Server waren nicht von dieser Sicherheitslücke betroffen.
  • Weitere Informationen über die Sicherheitslücke finden Sie auf heartbleed.com.
  • Eine Zusammenstellung potentiell betroffener Websites finden Sie auf mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein