Heartbleed

OpenSSL-Lücke betrifft zwei Drittel aller Web-Server

OpenSSL hat mit "Heartbleed" eine gravierende Sicherheitslücke, mit der Angreifer Passwörter oder Zertifikatsschlüssel aus dem Speicher auslesen können.

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

© heartbleed.com

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

Spätestens seit den Snowden-Enthüllungen über die Online-Bespitzelungen durch die NSA und andere Geheimdienste sollte jedem Internet-Nutzer klar sein, wie wichtig eine sichere Verschlüsselung bei der Übertragung vertraulicher Daten ist. Web-Seiten können zum Teil über SSL-verschlüsselte Verbindungen besucht werden, um etwa Anmeldedaten vor Mitlesern im offenen WLAN zu schützen, Mails werden immer häufiger standardmäßig über verschlüsselte Verbindungen abgerufen und verschickt.

In solchen Fällen kommen oft die quelloffenen OpenSSL-Bibliotheken zum Einsatz. Die lange Liste der Server- und Client-Software, die auf OpenSSL setzt, reicht vom Web-Server Apache bis zum Mail-Programm Pegasus Mail für Windows. Mit dem Anfang dieser Woche bereit gestellten Update auf die OpenSSL-Version 1.0.1g hat das OpenSSL-Projekt Informationen über eine gravierende Sicherheitslücke veröffentlicht, die in der neuen Version beseitigt wurde.

Die so genannte "Heartbleed"-Lücke (=Herzbluten) steckt in der Heartbeat-Funktion der OpenSSL-Software. Darüber tauschen die beiden Kommunikationspartner Statusinformationen aus. Die Schwachstelle (CVE-2014-0160) ermöglicht es beiden, bei der Gegenstelle bis zu 64 KB Daten pro Heartbeat aus dem Arbeitsspeicher auszulesen. Darin stecken zum Beispiel private Schlüssel für Server-Zertifikate, Benutzernamen und Passwörter, sowie weitere, verschlüsselt übertragene Daten, etwa zu Banktransaktionen wie Überweisungen.

Ein Angreifer kann ohne gültige Anmeldedaten und ohne gültiges Zertifikat bereits in der Anfangsphase der Kontaktaufnahme (Handshake) eine Heartbeat-Anfrage senden und so vertrauliche Daten auslesen. Mit jeder neuen Heartbeat-Anfrage kann er weiter 64 KB Daten ausspionieren. In den Log-Dateien eines Servers hinterlässt ein solcher Angriff keinerlei Spuren, kann also im Nachhinein nicht festgestellt und vor allem nicht ausgeschlossen werden.

OpenSSL Heartbleed: Wer ist betroffen?

Kurz gesagt: potenziell Jedermann. Vor allem und zuerst müssen Dienstanbieter wie Mail-Provider, Banken, Online-Shops ihre Server-Software aktualisieren, alle Zertifikate Anmeldedaten und Cookies als kompromittiert behandeln und sich neue Zertifikate besorgen. Ist die Vertrauenswürdigkeit der Online-Dienste wieder hergestellt, müssen Endbenutzer neue, korrigierte Software-Versionen installieren und ihre Passwörter ändern.

Die Web-Server Apache und nginx nutzen OpenSSL und laufen auf etwa zwei Drittel der weltweit am Internet hängenden Web-Server. Manche der großen Dienstanbieter wurden vorab informiert und haben ihre Systeme bereits abgesichert, aber bei weitem nicht alle. Die meisten gängigen Linux-Distributionen bieten über ihre Paketmanager bereits Updates an. Die größten Probleme wird es wohl bei kompakten Netzwerkgeräten (Appliances) geben, die ein Firmware-Update vom Hersteller benötigen. Anfällig sind die OpenSSL-Version 1.0.1 bis 1.0.1f sowie 1.0.2-beta1. In OpenSSL 1.0.1g und 1.0.2-beta2 ist der Fehler korrigiert.

Ob die Heartbleed-Lücke bereits für Spionageangriffe ausgenutzt wurde oder wird, ist nicht bekannt. Schon vorsichtshalber sollte davon ausgegangen werden, dass zum Beispiel Geheimdiensten oder auch Online-Kriminellen die Schwachstelle bereits länger bekannt ist. Mittlerweile sind jedenfalls verschiedene Tools verfügbar, um Systeme auf ihre Anfälligkeit zu testen, darunter auch ein Metasploit-Modul.