Heartbleed: Wichtige Fragen und Antworten in der Übersicht
Im April haben sehr wahrscheinlich fast alle von dem sogenannten Heartbleed Bug gehört. Auch diese, die nicht unbedingt technisch so interessiert sind, da das Medienecho, aufgrund der Folgen des Fehlers, keineswegs zu verachten ist. Doch was ist der Heartbleed Bug konkret, was oder wer ist betroffen, wie reagieren Entwickler und Institutionen darauf und worauf ist nun zu achten? Auf diese Fragen werde ich im Folgenden eingehen.
Was ist der Heartbleed Bug?
Heartbleed wurde ein Fehler (CVE-ID: CVE-2014-0160) getauft, der in der Heartbeat-Erweiterung der weit verbreiteten Krypto-Bibliothek OpenSSL enthalten ist. Einfach ausgedrückt ermöglicht der Fehler das Auslesen von Daten, die im Arbeitsspeicher des angegriffenen Computers liegen. Darunter können sich neben belanglosen Daten auch Passwörter oder Schlüssel für die sogenannte TLS-Verschlüsselung (allgemein bekannt unter SSL) befinden. Mit diesen Schlüsseln können TLS verschlüsselte Verbindungen (im Browser z.B. https://) entschlüsselt werden.
Wer ist von dem Heartbleed Bug betroffen?
Betroffen sind alle Anwendungen, die OpenSSL mit der Heartbeat-Erweiterung von Version 1.0.1 (beta) bis einschließlich 1.0.1f verwenden. Zeitlich betrachtet sind das alle Versionen seit dem 03. Januar 2012. Auf Serverseite ist OpenSSL im Umfeld freier Software der quasi Standard. Daher sind die Webserver Apache und nginx, gängige Mailserver wie Postfix oder Sendmail, die meisten FTP-Server und viele weitere Anwendungen betroffen. Auch auf Client Seite gibt es eine Reihe von Programmen, die OpenSSL verwenden und betroffen sind. Folglich sind von diesen Fehlern nicht nur einzelne kleine Webseiten betroffen, sondern auch Online-Banking und weitere sicherheitsrelevante Systeme. Kurz gesagt: Ein großer Teil des Internets, der mit Verschlüsselung arbeitet.
Wie realistisch ist es, dass der Heartbleed Bug ausgenutzt wurde oder wird?
Technisch ist der Bug mit ausreichendem Kenntnisstand wohl recht gut ausnutzbar. Cloudflare (ein großer CDN), rief dazu auf, einen SSL-Schlüssel von einer Test-Seite zu entwenden und gab sich selbstsicher, dass dies auf die Schnelle nicht möglich sei. Nur wenige Stunden später war, wie im Blog von Cloudflare dokumentiert, der Schlüssel entwendet. Die aktive Ausnutzung des Fehlers durch Kriminelle ist zwar eher unwahrscheinlich, da diese wahrscheinlich nicht ausreichend Ressourcen haben, um diesen Fehler zu finden, jedoch steht die Ausnutzung durch Geheimdienste wie der NSA im Raum. Dieses Szenario ist aufgrund deren finanziellen und rechtlichen Möglichkeiten, trotz deren Dementi, nicht auszuschließen.
Wie reagierten Entwickler und andere Institutionen auf den Heartbleed Bug?
Nachdem der Fehler unabhängig voneinander von zwei Stellen gefunden und dieser der Organisation hinter OpenSSL gemeldet wurde, arbeiteten diese an einer Lösung des Problems. Nach der Veröffentlichung des Bugfixes wurde der Fehler öffentlich gemacht. Kritik gibt es, da die OpenSSL Software Foundation den Fehler großen Anbietern wie Cloudflare wohl vorab mitteilte, wodurch diese einen zeitlichen Vorteil bei der Lösung des Problems in deren System erlangten. Nach der Veröffentlichung des Fehlers arbeiteten Anbieter verbreiteter Software meist mit Hochdruck an Lösungen, die häufig bereits wenige Stunden später veröffentlicht werden konnten.
Viele Aussteller von SSL-Zertifikaten zeigten sich kooperationsbereit und tauschten Zertifikate kostenfrei aus. Vereinzelte Ausnahmen wurden jedoch bekannt. Unter anderem bei StartSSL, die kostenlose Zertifikate vergeben und eine Entwertung nur gegen Entgelt vornehmen wollten. Auch SSL-Zertifikat Distributionen wie die PSW GROUP bieten den kostenfreien Austausch an – und werben teils sogar damit.
Was sollten Nutzer wegen des Heartbleed Bugs nun beachten?
Wenn Passwörter durch den Fehler ausgelesen wurden, kann man dagegen im Nachhinein nichts mehr machen. Daher sollten möglichst alle verwendeten Passwörter ausgetauscht werden. Dabei ist jedoch darauf zu achten, dass die Dienste ihre Server bereits aktualisiert haben und deren SSL-Zertifikate bereits ausgetauscht wurden. Ob dies bei den von dir verwendeten Diensten der Fall ist, kannst du z.B. mit dem LastPass Heartbleed checker überprüfen.
Wo gibt es weitere Informationen zum Heartbleed Bug?
Dieser Artikel sollte bewusst nur ein kurzer Abriss des Themas sein, welches sich, wenn man ins Detail geht, wesentlich länger und technischer ausführen lässt. Die Folgen des Fehlers sind nicht wirklich absehbar, da man nicht nachvollziehen kann, wann der Fehler wo ausgenutzt wurde. Wenn dir die oben stehenden Informationen noch zu wenig sind, findest du im Folgenden weitere Artikel und Tools rund um das Thema Heartbleed.
Lesenswerte Artikel zum Thema Heartbleed Bug
- Golem: Technisch betrachtete Fragen und Antworten
- Heartbleed.com: Ausführliche Liste von Fragen und Antworten in technischer Hinsicht
- Wikipedia: Sachliche Zusammenfassung des Heartbleed Bugs
- Netzpolitik.org: Handlungsempfehlungen hinsichtlich Passwörtern
- Heise: OpenSSL-Projekt bittet nach dem Bug um Unterstützung
Tools rund um den Heartbleed Bug
- LastPass Heartbleed checker: Zeigt auf, ob Passwortänderung jetzt sinnvoll ist
- Heartbleed test: Testet Webseiten, ob Webserver noch unsicher sind
1 Kommentar. Hinterlasse eine Antwort
[…] wird von mancher Seite als schlimmer als Heartbleed bezeichnet. Heartbleed war, wenn man so will, ein reines Datenschutzproblem. ShellShock hingegen […]