18.06.2014 Heartbleed: Zusammenfassung & Konsequenzen

Die Heartbleed-Lücke wird als eine der verheerendsten Sicherheitslücken in den letzten Jahren gesehen und entstand durch einen Programmierfehler in der Krypto-Bibliothek „OpenSSL“. „OpenSSL“ ist eine freie Software (Open-Source) die für sicheres Surfen im Internet konzipiert wurde und bei Anwendungen verwendet wird, wo sicherheitskritische Daten übertragen werden. Das können beispielsweise die Zugangsdaten für das Online-Banking, den E-Mail-Account oder ein soziales Netzwerk sein. Davon betroffen waren alle Anbieter, die genau diese fehlerhafte Softwareversion einsetzten. Die Anzahl betroffener Webseiten ist groß und Dienstanbieter wie beispielsweise Google Mail, Yahoo, Facebook, Instagram, Pinterest, Tumblr, SoundCloud, YouTube zeigen das Ausmaß und Tragweite dieser Sicherheitslücke.

Eine gesicherte Verbindung zwischen Browser und Web-Dienstanbieter kann in der Adressleiste anhand des „s“ in „https“ erkannt werden. Zusätzlich wird bei aktuellen Browsern ein Schloss-Symbol angezeigt, welches beim Anklicken detailliertere Informationen zur gesicherten Verbindung mit dem Server anzeigt. 

Der Fehler wurde bereits mit der OpenSSL-Version 1.0.1, die am 14. März 2012 veröffentlicht wurde verbreitet. Nach Bekanntwerden des Fehlers wurde dieser mit der Version 1.0.1g geschlossen die am 7. April 2014 veröffentlicht wurde. Der beachtliche Zeitraum von über zwei Jahre und der Umstand, dass ein Ausnutzen des Fehlers keine Spuren am Server hinterlassen haben, lassen über das Ausmaß des Schadens nur Spekulationen zu. Von wem und über welchen Zeitraum die Sicherheitslücke aktiv ausgenutzt wurde bleibt wahrscheinlich im Dunklen.

Der Fehler entstand durch Hinzufügen einer Heartbeat-Funktion, die sogenannte „Heartbeats“ zwischen Server und Client austauscht. Diese dient um festzustellen, ob der Kommunikationspartner oder die Kommunikationspartnerin noch verfügbar ist. Bei der Implementierung dieser Funktion wurde auf eine Überprüfung des Speicherzugriffs schlichtweg vergessen. Das hatte zur Folge, dass eine Angreiferin oder ein Angreifer einen Wert in der Größe von 64 kByte (pro Angriff) aus einem zufälligen Teil des Arbeitsspeichers der Gegenstelle auslesen konnte. Durch dieses „bluten“ an Informationen, wurde der Fehler „Heartbleed“ getauft. Die Angreiferin oder der Angreifer konnte nur zufällige Werte erlangen, jedoch war es mittels einer entsprechend hohen Anzahl an Wiederholungen dieses Angriffs auch sensible Daten wie Passwörter, Benutzernamen, E-Mails oder Zertifikate auszulesen. 

Inzwischen wurde der Großteil der österreichischen Server auf die neueste OpenSSL-Version aktualisiert. Um zu überprüfen, ob eine Webseite noch vom Heartbleed-Bug betroffen ist, wurden unter filippo.io/Heartbleed/ und unter possible.lv/tools/hb/ Internetseiten eingerichtet, die mit einem Onlinetool eine Überprüfung ermöglichen. Für Interessierte und mögliche Betroffene wurde eine Liste veröffentlicht, die die wichtigsten internationalen betroffenen Webseiten auflistet. Da über das Ausmaß des Schadens nur spekuliert werden kann ist die Liste der Seiten nur als Hinweise zu werten. Es ist davon auszugehen, dass möglicherweise flächendeckend Zugangsdaten kompromittiert wurden und es ist allen Userinnen und Usern anzuraten ihre Zugangsdaten umgehend zu ändern. Unumgänglich ist nach wie vor ein sicheres Passwort, Hilfestellung bietet ein Artikel von heise Security.

Wegen einer potentiellen Kompromittierung sensibler Daten müssen Serverbetreiber auch ihre SSL-Zertifikate austauschen und alte widerrufen, sodass eine sichere Kommunikation gewährleistet werden kann. Es ist darauf zu achten, dass für die Erstellung des neuen Zertifikats auch ein neuer privater Schlüssel verwendet wird. Denn ohne Änderung des privaten Schlüssels ist ein neues Zertifikat, das sich vom privaten Schlüssel ableitet, genauso als potentiell kompromittiert anzusehen. Das gefährliche dabei ist, dass sich die Administratorin oder der Administrator unwissend in Sicherheit wiegt, mit der Annahme, alles richtig gemacht zu haben.

Nach einer Analyse vom 09. Mai 2014 von Netcraft, wurden bei 43 Prozent der betroffenen Webseiten die Zertifikate aktualisiert, wobei lediglich 14 Prozent den privaten Schlüssel änderten, das alte Zertifikat widerriefen und ein neues Zertifikat generierten. Daraus folgt, dass 57 Prozent der untersuchten betroffenen Webseiten weder ihren privaten Schlüssel noch ein neues Zertifikat generierten. 

Am 23. Mai 2014 veröffentlichte SBA Research, ein österreichisches Forschungsinstitut für IT-Sicherheit, einen Analysebericht über betroffene österreichische Webseiten. Bei der Erhebung wurde festgestellt, dass 65 Prozent der Webseiten das SSL-Zertifikat nicht aktualisierten und 6 Prozent fälschlicherweise den alten, potentiellen kompromittierten privaten Schlüssel zur Zertifikat-Generierung benutzten. Daraus folgt, dass zwar die meisten österreichischen Webseiten die OpenSSL-Software auf die neueste Version aktualisierten, aber trotzdem noch mehr als zwei Drittel der Webseiten von den Auswirkungen der Heartbleed-Lücke betroffen sind.

Am 02. Mai 2014 wurde eine weitere Sicherheitslücke publiziert, die zwar zu keinem Datenleck führt, aber dem Angreifer oder der Angreiferin eine Denial-of-Service-Attacke ermöglicht, die zu einem Programmabsturz führen kann.

Als erste Konsequenz des Heartbleed-Bugs wurde das Projekt LibreSSL, eine Abspaltung (ein sogenannter Fork) von OpenSSL, ins Leben gerufen. LibreSSL verfolgt das Ziel, den Quelltext zu überarbeiten und zu entschlacken. Zum 21. Mai, 30 Tage nach Gründung, wurden bereits 150.000 Zeilen (von 388.000) vom OpenSSL-Quelltext entfernt. Durch diese Aufräumaktion erwartet sich das Projekt eine bessere Qualität und versucht damit Fehler wie den Heartbleed-Bug schon im Vorfeld zu vermeiden. Trotz dieser gravieren Änderungen soll LibreSSL ein vollständig kompatibler Ersatz zu OpenSSL sein.

Weiterführende Informationen

Datum der Veröffentlichung: 18.06.2014

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria