SSL-Lücke
10.04.2014, 12:06 Uhr
So muss ich reagieren
Die bekannt gewordene Lücke in OpenSSL ist gravierend. Computerworld trägt Fakten zusammen und sagt, wie man richtig reagiert
Es blutet das Herz! Die Backdoor in OpenSSL ab Version 1.0.1 bis 1.0.1f ist ein wuchtiger Schlag in die Magengrube aller Open-Source-Anhänger. Zwei Jahre blieb die Schwachstelle unentdeckt, immerhin wurde innerhalb Stunden ein Patch veröffentlicht. Die jetzt geschürte Panik hat jedoch nur teilweise Berechtigung, obwohl die Sache ziemlich ernst ist und das Vertrauen in sichere Internetinfrastruktur weiter gelitten hat.
Computerworld listet im folgenden die wichtigsten Fakten auf:
Wie kann ich mich schützen?
- Überprüfen Sie ihren Webseitenbetreiber mit filippo.io/Heartbleed/
- Inzwischen sollten die meisten seriösen Webseitenbetreiber die Lücke gepatcht haben. Kommt dort eine Warnmeldung, ist Vorsicht geboten. Leuchtet die Ampel grün, können sie zumindest davon ausgehen, dass die Lücke geschlossen ist oder gar nie eine Gefahr bestand.
- SSL-Verschlüsselung erkennen Sie am Schloss in der Adressleiste des Browsers. Klicken Sie auf das Symbol und kontrollieren Sie, ob das Zertifikat nach dem 7. April 2014 herausgegeben wurde.
- Falls die Ampel grün zeigt aber das Zertifikat nach dem 7. April 2014 herausgegeben wurde, dann ändern Sie sicherheitshalber ihr Passwort.
Auch die Melde- und Analysestelle des Bundes, MELANI hat eine Warnung und weitere Informationen zu Heartbleed auf ihrer Webseite aufgeschaltet.
Was ist betroffen?
Die fehlerhafte Software ist die OpenSLL Bibliothek 1.0.1 bis 1.0.1f und OpenSSL 1.0.2 bis Beta1 die auf Linux-Servern eingesetzt werden. Es ist ein Implementierungs-Bug, kein Loch im Protokoll. Betroffen sind Linux-Server, die ihre Verschlüsselungen auf diesen SSL-Versionen einsetzen. Man kann davon ausgehen, dass ein grosser Teil der in den letzten 2 Jahren aufgesetzten Linux-Servern betroffen sind. Wie hoch die Quote tatsächlich ist, weiss niemand genau. Quellen sprechen von 17% der Verschlüsselungen.
Die Lücke wurde am 8. April 2014 entdeckt und veröffentlicht. Somit war ein grosser Teil des gesicherten Datenverkehrs zumindest für ein paar Stunden für jeden fähigen Angreifer potenziell betroffen.
Betroffen sind Webseiten, Apps und Software, die mit Servern kommunizieren und diese Verschlüsselungstechniken verwenden. Dabei dürfen insbesondere Server nicht vergessen werden, die beispielsweise für Smartphone-Apps, Chatdienste (z. B. Jabber), Cloud-Speicher, Streaming-Dienste (z.B. Plex), Mail-Dienste (z. B. SMTP, POP, IMAP over SSL), OpenVPN Zugänge, sofern diese OpenSSL Bibliotheken nutzen. Ebenso müssen Netzwerkgeräte wie Router und Switches berücksichtigt werden, welche entsprechende WebGUIs anbieten. OpenSSL 1.0.1g ist die erste Version, in welcher die Lücke beseitigt wurde.
Was kann ein Angreifer tun?
Ein Angreifer, der die Schwachstelle ausnutzt, kann unerkannt Daten wie Passwörter, Login, Cookies etc. in 64 kB grossen Datenstücken (mit dem Ping zwischen Client & Server) aus dem Server oder Client kopieren. Mit massierten Angriffen können so in relativ kurzer Zeit ganze Arbeitsspeicher mit sensiblen Informationen, darunter auch das Private Verschlüsselungszertifikat, leergeräumt werden. Fällt das private Verschlüsselungszertifikat in die Hände eine Angreifers, kann die Datenverbindung zwischen Client und Server mitgelesen werden.