• Blog
  • Raspberry Pi
  • Über mich
  • Projekte
  • devowl.io

Heartbleed: Wichtige Fragen und Antworten in der Übersicht

30. April 2014
Debian (Linux)
1 Kommentar

Im April haben sehr wahrscheinlich fast alle von dem sogenannten Heartbleed Bug gehört. Auch diese, die nicht unbedingt technisch so interessiert sind, da das Medienecho, aufgrund der Folgen des Fehlers, keineswegs zu verachten ist. Doch was ist der Heartbleed Bug konkret, was oder wer ist betroffen, wie reagieren Entwickler und Institutionen darauf und worauf ist nun zu achten? Auf diese Fragen werde ich im Folgenden eingehen.

Was ist der Heartbleed Bug?
Heartbleed wurde ein Fehler (CVE-ID: CVE-2014-0160) getauft, der in der Heartbeat-Erweiterung der weit verbreiteten Krypto-Bibliothek OpenSSL enthalten ist. Einfach ausgedrückt ermöglicht der Fehler das Auslesen von Daten, die im Arbeitsspeicher des angegriffenen Computers liegen. Darunter können sich neben belanglosen Daten auch Passwörter oder Schlüssel für die sogenannte TLS-Verschlüsselung (allgemein bekannt unter SSL) befinden. Mit diesen Schlüsseln können TLS verschlüsselte Verbindungen (im Browser z.B. https://) entschlüsselt werden.

Wer ist von dem Heartbleed Bug betroffen?
Betroffen sind alle Anwendungen, die OpenSSL mit der Heartbeat-Erweiterung von Version 1.0.1 (beta) bis einschließlich 1.0.1f verwenden. Zeitlich betrachtet sind das alle Versionen seit dem 03. Januar 2012. Auf Serverseite ist OpenSSL im Umfeld freier Software der quasi Standard. Daher sind die Webserver Apache und nginx, gängige Mailserver wie Postfix oder Sendmail, die meisten FTP-Server und viele weitere Anwendungen betroffen. Auch auf Client Seite gibt es eine Reihe von Programmen, die OpenSSL verwenden und betroffen sind. Folglich sind von diesen Fehlern nicht nur einzelne kleine Webseiten betroffen, sondern auch Online-Banking und weitere sicherheitsrelevante Systeme. Kurz gesagt: Ein großer Teil des Internets, der mit Verschlüsselung arbeitet.

Wie realistisch ist es, dass der Heartbleed Bug ausgenutzt wurde oder wird?
Technisch ist der Bug mit ausreichendem Kenntnisstand wohl recht gut ausnutzbar. Cloudflare (ein großer CDN), rief dazu auf, einen SSL-Schlüssel von einer Test-Seite zu entwenden und gab sich selbstsicher, dass dies auf die Schnelle nicht möglich sei. Nur wenige Stunden später war, wie im Blog von Cloudflare dokumentiert, der Schlüssel entwendet. Die aktive Ausnutzung des Fehlers durch Kriminelle ist zwar eher unwahrscheinlich, da diese wahrscheinlich nicht ausreichend Ressourcen haben, um diesen Fehler zu finden, jedoch steht die Ausnutzung durch Geheimdienste wie der NSA im Raum. Dieses Szenario ist aufgrund deren finanziellen und rechtlichen Möglichkeiten, trotz deren Dementi, nicht auszuschließen.

Wie reagierten Entwickler und andere Institutionen auf den Heartbleed Bug?
Nachdem der Fehler unabhängig voneinander von zwei Stellen gefunden und dieser der Organisation hinter OpenSSL gemeldet wurde, arbeiteten diese an einer Lösung des Problems. Nach der Veröffentlichung des Bugfixes wurde der Fehler öffentlich gemacht. Kritik gibt es, da die OpenSSL Software Foundation den Fehler großen Anbietern wie Cloudflare wohl vorab mitteilte, wodurch diese einen zeitlichen Vorteil bei der Lösung des Problems in deren System erlangten. Nach der Veröffentlichung des Fehlers arbeiteten Anbieter verbreiteter Software meist mit Hochdruck an Lösungen, die häufig bereits wenige Stunden später veröffentlicht werden konnten.

Viele Aussteller von SSL-Zertifikaten zeigten sich kooperationsbereit und tauschten Zertifikate kostenfrei aus. Vereinzelte Ausnahmen wurden jedoch bekannt. Unter anderem bei StartSSL, die kostenlose Zertifikate vergeben und eine Entwertung nur gegen Entgelt vornehmen wollten. Auch SSL-Zertifikat Distributionen wie die PSW GROUP bieten den kostenfreien Austausch an – und werben teils sogar damit.

Was sollten Nutzer wegen des Heartbleed Bugs nun beachten?
Wenn Passwörter durch den Fehler ausgelesen wurden, kann man dagegen im Nachhinein nichts mehr machen. Daher sollten möglichst alle verwendeten Passwörter ausgetauscht werden. Dabei ist jedoch darauf zu achten, dass die Dienste ihre Server bereits aktualisiert haben und deren SSL-Zertifikate bereits ausgetauscht wurden. Ob dies bei den von dir verwendeten Diensten der Fall ist, kannst du z.B. mit dem LastPass Heartbleed checker überprüfen.

Wo gibt es weitere Informationen zum Heartbleed Bug?
Dieser Artikel sollte bewusst nur ein kurzer Abriss des Themas sein, welches sich, wenn man ins Detail geht, wesentlich länger und technischer ausführen lässt. Die Folgen des Fehlers sind nicht wirklich absehbar, da man nicht nachvollziehen kann, wann der Fehler wo ausgenutzt wurde. Wenn dir die oben stehenden Informationen noch zu wenig sind, findest du im Folgenden weitere Artikel und Tools rund um das Thema Heartbleed.

Lesenswerte Artikel zum Thema Heartbleed Bug

  • Golem: Technisch betrachtete Fragen und Antworten
  • Heartbleed.com: Ausführliche Liste von Fragen und Antworten in technischer Hinsicht
  • Wikipedia: Sachliche Zusammenfassung des Heartbleed Bugs
  • Netzpolitik.org: Handlungsempfehlungen hinsichtlich Passwörtern
  • Heise: OpenSSL-Projekt bittet nach dem Bug um Unterstützung

Tools rund um den Heartbleed Bug

  • LastPass Heartbleed checker: Zeigt auf, ob Passwortänderung jetzt sinnvoll ist
  • Heartbleed test: Testet Webseiten, ob Webserver noch unsicher sind
Quellen: Siehe Lesenswerte Artikel zum Thema Heartbleed Bug

1 Kommentar. Hinterlasse eine Antwort

  • ShellShock: Nächste große Sicherheitslücke nach Heartbleed » Jan Karres
    September 28, 2014 2:06 pm

    […] wird von mancher Seite als schlimmer als Heartbleed bezeichnet. Heartbleed war, wenn man so will, ein reines Datenschutzproblem. ShellShock hingegen […]

    Antworten

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.
Sie müssen den Bedingungen zustimmen, um fortzufahren.

Jan Karres
Jan Karres
Wirtschaftsinformatiker
Facebook
Twitter
YouTube
LinkedIn
Xing
GitHub

Themen

  • Blogging
  • Debian (Linux)
  • Eine Geschichte aus dem Leben des Jan
  • Fotos
  • Gaming
  • Gedanken
  • Linksammlungen
  • Privates
  • Projekte
  • Raspberry Pi
    • Einplatinencomputer (außer Raspberry Pi)
  • Schule und Studium
  • Tipps und Tricks
  • Videos
  • Vorgestellt
  • WordPress

Projekte

Dieser Blog ist meine kleine Base im Internet, in der ich über Themen schreibe, die mich persönlich beschäftigen. Abseits davon habe ich weitere Projekte im Netz, die teils aus Spaß entstanden, jedoch zum Teil auch meinen Kühlschrank füllen.

Alle Projekte

JanKarres.de © 2007-2022

Neueste Beiträge

  • Raspberry Pi: WLAN Access Point mit NordVPN (VPN Router) einrichten Dezember 5, 2020
  • Real Cookie Banner: Wie das Opt-in Cookie Banner für WordPress entstand November 18, 2020
  • Blog Setup erneut: Aufräumen einer kleinen Historie Oktober 13, 2020
  • devowl.io: Auf geht’s in das WordPress Business! März 10, 2020
  • Kuschelpartys: Nähe und Geborgenheit einfach erleben September 30, 2018

devowl.io

Meine Brötchen verdiene ich im Internet. Dazu habe ich gemeinsam mit meinem Kollegen Matze die devowl.io GmbH gegründet. Gemeinsam entwickeln und vertreiben wir in unser Plugins und Entwickler-Tools im WordPress Umfeld.

Mehr erfahren
  • Datenschutzerklärung
  • Impressum