Der Heartbleed Bug von OpenSSL schockiert die Sicherheitsbranche – der Stand der Dinge

Das wichtigste zuerst: Für alle meine Kunden habe ich unmittelbar nach Bekanntwerden die notwendigen Schritte zur Schließung der Sicherheitslücke durchgeführt bzw. von den zuständigen Drittunternehmen veranlasst.

Nun zur Heartbleed Problematik selbst:

Vor knapp drei Tagen wurde vom Open SSL Security Advisory folgendes bekannt gegeben:

„A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.“  (externer Link zum gesamten Text)

Das bedeutet, dass durch das Auslesen des genannten Speichers Unbefugte auf die privaten Schlüssel von TLS Servern ebenso zugreifen könnten, wie auf übertragene Passwörter, Nutzernamen und diverse sensible Daten. Da der Angriff beliebig oft wiederholt werden kann, ist dieser nicht auf die ursprünglichen 64k begrenzt – es können theoretisch beliebig viele 64k-Speicherstücke nacheinander extrahiert werden, bis die gewünschte Information enthalten ist.

Der Fehler wurde in Anspielung auf die betreffende Heartbeat-Erweiterung nun als „Heartbleed“ bezeichnet.

Da sehr viele Webserver OpenSSL einsetzen (nämlich immer dann, wenn Daten per https verschlüsselt und authentifiziert von Browser zu Webserver übertragen werden; externer Link) sind oder waren eine enorme Anzahl an Webseiten betroffen. Unter ihnen gerade auch hochfrequenteSeiten wie Facebook, Tumblr oder Dropbox.

Klicken Sie hier um eine Liste betroffener Websites zu sehen (extern)
Ergänzend dazu sehen Sie hier eine noch längere Liste diverse beliebter Webseiten, welche auf die Schwachstelle getestet wurden (extern).

In den letzten 3 Tagen waren die Serveradministratoren und Sicherheitsverantwortlichen der betroffenen Anbieter gefordert, die äußerst schwerwiegende Sicherheitslücke zu schließen. Insbesondere die großen Seiten wie Facebook haben schnell reagiert und sind mittlerweile nicht mehr vom Heartbeat Bug betroffen. Für die Nutzer bedeutet das jedoch noch keinesfalls Entwarnung: Es ist durchaus möglich, dass bereits in der Vergangenheit sensible Daten ausgelesen wurden und Angreifer nun z.B. über Benutzernamen und Passwörter verfügen. Es empfiehlt sich daher dringend, alle Zugangsdaten von ehemals betroffenen Seiten zu ändern.  Dies macht natürlich erst dann Sinn, wenn die Sicherheitslücke bereits nachweislich geschlossen wurde.

Große Anbieter haben diesbzgl. Statements veröffentlicht (siehe z.B. hier und hier – Anmerkung: Google gibt an, bereits sehr früh auf den Bug aufmerksam geworden und diesen behoben zu haben. Ein Passwortwechsel sei für Google Accounts daher nicht notwendig). Bei kleineren Portalen sollte man ggf. persönlich nachfragen. Im Web gibt es nun aber auch Möglichkeiten, Server bzw. Webseiten auf ihre Anfälligkeit gegenüber Heartbeat schnell und unkompliziert zu überprüfen. So z.B. diese Internetseite (extern) oder dieses Plugin für den Chrome Browser (extern)

Zusammenfassend lässt sich sagen, dass der Heartbleed Bug definitiv eine der gravierendsten Sicherheitslücken überhaupt in der Internetgeschichte ist oder war. Glücklicherweise wurde sehr schnell nach öffentlichem Bekanntwerden reagiert und daraufhin die Lücke prompt geschlossen. Allerdings wäre es auch denkbar, dass versierte Hacker bereits seit längerem über dieses Sicherheitsproblem Bescheid wissen und es in der Vergangenheit bereits ausnutzen konnten.

Checkliste Heartbleed Bug – für Serveradministratoren:

1. Sofern verwendet, OpenSSL auf Version 1.0.1g upgraden

2. Sicherheitszertifikate erneuern

3. User informieren

Checkliste Heartbleed Bug – für Endanwender

1. Überprüfen/nachfragen, ob Server betroffen war oder ist

2. Sicherheitszertifikat ggf. auf Datum überprüfen (es sollte definitiv jünger sein als 7.4. 2014)

3. Passwörter aktualisieren (wie immer auf ein starkes Passwort achten – außerdem sollte es dem alten nicht ähnlich sein)

Weitere Informationen und Quellen (extern):

Allgemeine Informationsseite zum Thema (heartbleed.com)
Artikel „Drei Tage HeartBleed, was tun?“ (netzpolitik.org)
Artikel „HeartBleed: Ein OpenSSL Bug, der weitreichende Folgen haben könnte“ (netzpolitik.org)
„Half a million wideley trusted websites vulnerable to heartbleed bug“ (Netcraft)
Artikel „The Internet needs a password reset“ (Wired)
Fragen und Antworten zu Heartbleed, Zeitungsartikel (FAZ)
Wichtige Fragen und Antworten zu Heartbleed (Golem.de)
Heartbleed-Lücke mit katastrophalen Folgen (heise Security)