Die aktuellen Nachrichten über die OpenSSL-Sicherheitslücke namens Heartbleed beunruhigen zahlreiche PC-Anwender. Die Sicherheitslücke ist so schwerwiegend, wie eine Sicherheitslücke nur sein kann. Sie ist behoben und Webseiten-Administratoren und Softwareanbieter haben begonnen, ihre OpenSSL-Version zu aktualisieren. Das Problem ist jedoch größer.
Die Auswirkungen dieser Sicherheitslücke sind enorm. Zwei Drittel aller Web-Server verwenden potentiell unsichere Versionen von OpenSSL für die verschlüsselte Kommunikation. Darunter befanden sich Websites wie Google, Gmail, YouTube, Yahoo, Instagram, Pinterest, Tumblr, Doodle, Dropbox, github und viele andere. Die gute Nachricht lautet, dass die Bugs sehr schnell behoben werden konnten. Die SSL-/TLS-Infrastruktur ist jetzt also besser als zuvor.
Die tatsächlichen Auswirkungen dieser Sicherheitslücke sind dagegen unklar. Versionen der Sicherheitslücke reichen zurück bis in den Dezember 2011. Diverse Angriffe, wie etwa der BEAST-Angriff sorgten für eine umfassende, schnelle Verbreitung dieser Versionen. Der Angriff wird in einem von XKCD veröffentlichen Comic, den wir unter diesem Text ebenfalls gepostet haben, verständlich erläutert.
Die Wirkung eines Exploit besteht darin, dass 64 KB Speicherdaten zum Angreifer gelangen, ohne Spuren zu hinterlassen. Mit diesem Exploit erhält man Zugang zu folgenden Daten:
Und genau dieser Umstand macht diesen Bug so besonders. Die potentiell gestohlenen Daten bleiben auch nach der Behebung des Bugs bestehen. Ein Angreifer, der den Codeschlüssel entwendet hat, kann den Verkehr auch entschlüsseln, nachdem der Bug behoben wurde. Wenn ein Angreifer Passwörter entwendet hat, kann er immer noch auf die Accounts zugreifen und sie missbrauchen. Derzeit gibt es keinerlei Anzeichen, dass Daten aus solchen Quellen auf den Cyber-Kriminalitäts-Schwarzmärkten gehandelt werden. Denkt man jedoch an die Snowden-Enthüllungen, erscheint die Situation in einem anderen Licht. Wenn Geheimdienste diese Sicherheitslücke genutzt haben/hätten, wären sie in der Lage, z. B. die E-Mail-Kommunikation trotz SSL-Verschlüsselung weiterhin zu überwachen. Wenn Benutzerdaten entwendet wurden, wäre es möglich, Daten aus dem betreffenden Account, z. B. aus Pinterest oder Dropbox, zu stehlen.
Neben der Behebung der Server-Probleme könnte es also erforderlich sein, dass die Anbieter ihre Codeschlüssel ändern. Endanwender sollten die Passwörter möglicherweise betroffener Accounts ändern.
Um es deutlich zu machen: es gibt keinerlei Beweis dafür, dass irgendjemand diese Sicherheitslücke ausgenutzt hat. Vielleicht ist auch gar nichts passiert. Wenn jedoch die Snowden-Affäre Ihre Paranoia verstärkt hat, sollten Sie eventuell Ihre Passwörter ändern (natürlich erst, nachdem der Bug auf dem Server behoben wurde). Übrigens: Passwörter regelmäßig zu wechseln ist generell keine schlechte Idee.