Montag, 23. Oktober 2017
Home > #Neuland > Internet-Gau: Heartbleed

Internet-Gau: Heartbleed

Heartbleed - Bug

In diesem Tagen wird bei vielen Internetdiensten hektisch daran gearbeitet, eine massive Sicherheitslücke zu beseitigen. Es geht um eine bisher übersehene Lücke in der Verschlüsselungstechnologie OpenSSL, die einen Großteil aller Internetserver betrifft, aber auch private Internetnutzer.

Die OpenSSL-Software wird üblicherweise für verschlüsselte Verbindungen genutzt. Doch durch den übersehenen Fehler könnten bereits seit längerer Zeit private Daten preisgegeben worden sein.

Der Fehler ist in der sogenannten Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL enthalten, und besteht bereits seit etwa 2 Jahren. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen im gesamten Internet.

Der sogenannte „Heartbeat“ soll es eigentlich Server und Client ermöglichen, eine TLS-Verbindung am Leben zu halten. Zu diesem Zweck sendet einer der Kommunikationspartner eine Payload mit beliebigem Inhalt an das andere Ende. Der Kommunikationspartner schickt dann exakt die selben Daten zurück, um zu zeigen, dass die Verbindung nach wie vor in Ordnung ist. Dieser Vorgang erinnert an das Pochen eines Herzens – deshalb der Name Heartbeat.

Das Problem bei der Umsetzung der TLS-Heartbeat-Funktion in OpenSSL war, dass das Programm nicht überprüft, wie lang die empfangene Payload tatsächlich ist – der Empfänger glaubt dem Absender einfach.

Inzwischen ist es sicher, das sich auch Hacker dieser Schwachstelle bedienen und bedient haben. Die Exploits sorgen für ein „Ausbluten von Daten“ über die Schwachstelle. Deshalb wurde der Name „Heartbleed-Exploit“ geboren.

Heartbleed - Bug

So funktioniert der Heartbleed-Exploit

Im Informationsportal heise security ist der Heartbeat-Exploit beschrieben.

Schwer nachvollziehbare Sicherheitsprobleme

Bisher war es schwer nachzuvollziehen, welche Unternehmen und Webseiten mit OpenSSL arbeiten und somit Sicherheitsprobleme im Datenaustausch haben. Grundsätzlich sind nach Angaben von SITE PRO NEWS www.sitepronews.com vor allem Linux-Systeme betroffen. WINDOWS und Windows-Cloud-Systeme wie AZURE nutzen eigene Sicherheitsprotokolle (a.k.a. SChannel).

Inzwischen wurde auf der Website Mashable eine Liste betroffener Dienste veröffentlicht. Einige Internetfirmen haben ihre Server bereits auf den neuesten Stand gebracht und die Sicherheitslücke geschlossen.

Unter den Sozialen Netzwerken sind Facebook und Tumblr betroffen. LinkedIn nutzt die SSL-Technologie nicht und ist sauber.

Die Passwörter der betroffenen Webseiten sollten laut Mashable nun umgehend geändert werden. Zwar sei das keine Garantie, dass private Informationen nicht bereits gefährdet sind, heißt es auf der Seite. Der Heartbleed-Bug bestand schließlich seit etwa zwei Jahren. Doch gebe es kein Anzeichen dafür, dass Hacker seit Längerem von der Sicherheitslücke wüssten.
Anzeige

Passwörter sicherheitshalber ändern

Der dringende Rat geht an alle User, ihre Zugangspasswörter zu ändern, um sich gegen Datenlecks neu zu sichern. Ob Twitter betroffen ist, ist noch nicht bekannt. In jedem Fall sóllten Nutzer von GMail und Yahoo-Mail ihre Passwörter ändern. Auch für
folgende Webseiten sollten die Passwörter geändert werden: Google und Yahoo, Dropbox und Soundcloud.

Nicht betroffenene Dienste

Laut Mashable sind Amazon und Microsoft nicht betroffen, ebenfalls AOL und Hotmail, die keine OpenSSL-Technologie nutzen.
Apple hat sich noch nicht geäußert. Eine vollständige Hit-Liste finden Sie hier: Heartbleed-Hit-List

Online-Banking theoretisch auch gefährdet

Nach Angaben der Deutschen Kreditwirtschaft, stellt die Sicherheitslücke lediglich „ein branchenübergreifendes theoretisches Angriffsszenario dar“. Noch gibt es keine Liste betroffener Banken.
Der Heartbleed-Exploit wird jedoch sehr ernst genommen, und alle Systeme werden überprüft, eventuelle Sicherheitslücken werden sofort geschlossen.

Sicherheitstest zum Heartbleed-Exploit

Inzwischen gibt es auch eine Website von Filippo Valsorda, auf der Domains und Dienste überprüft werden können, ob sie vom Heartbleed-Exploit betroffen sind. Die Website befindet sich auf dem Twitter Github fork und wird fortlaufend aktualisiert.
Leider kann sie noch nicht alle Ursachen genau beschreiben, aber bereits gesicherte Seite lassen sich hier eindeutig identifizieren: Filippo Valsorda. Twitter, Github: http://filippo.io/Heartbleed/

Überstunden in der Redaktion

Auch die Redaktion der Pankower Allgemeinen Zeitung hat in den letzten Tagen Überstunden eingelegt, weil alle Sicherheitsfunktionen nachjustiert und Paßwörter ausgetauscht werden mußten. Nun wird daran gearbeitet, den Artikelstau zu beseitigen.

Ein Sicherheitstest mit den PRENZLAUERBERG-NACHRICHTEN ergab übrigens: auch die dortige Redaktion hat wohl noch Handlungsbedarf. Ihr Test verweist nicht auf den Hosting-Partner 1und1, sondern auf einen schweizerischen Webhoster, der allerdings seine eigenen Seiten bereits gesichert hat. m/s

Heartbleed-Test
Heartbleed-Test mit den Prenzlauerberg Nachrichten

Save this post as PDF

m/s