Software::Security
Die Nachwirkungen von Heartbleed
Der schwerwiegende Fehler in der TLS-Implementation von OpenSSL war als Heartbleed-Bug die ganze Woche das Thema in den einschlägigen Medien und schaffte es sogar in die Nachrichtensendungen aller hiesigen TV-Sender. Die meisten Server sind inzwischen gepatcht, die Folgen des Fehlers aber noch weithin unklar.
Codenomicon - www.codenomicon.com
OpenSSL: Schwerwiegender Fehler Heartbleed
Der Entwickler
Aljoscha Rittner fand gestern bei einem Test rund 90 Prozent der Server, die Inhalte per HTTPS ausliefern, bereits mit neuen Versionen von OpenSSL versehen. Derweil kommen die Zertifizierungsstellen nicht schnell genug hinterher, Zertifikate zu erneuern. Somit verbleiben für die nächste Zeit immer noch Server in ungepatchtem Zustand und stellen ein Risiko für die Besucher dar. Rund eine halbe Million Webseiten sollen durch gefälschte Heartbeat-Pakete verletzlich gewesen sein. Das bedeutet, rund 50.000 Server waren gestern noch angreifbar. Serverbetreiber sollten die Angelegenheit als Wettrennen mit potenziellen Angreifern betrachten und schnell und verantwortlich handeln.
Das größere Risiko stellt aber nach Ansicht der Sicherhreitsexperten das bisher weithin unbekannte Vorleben der Lücke dar. Den Experten bereiten erste Belege für die Ausnutzung der Lücke bereits im November 2013 Sorgen. So hat Terrence Koeman von MediaMonkey in Server-Logs einige eingehende Pakete entdeckt, die in ihren Nutzdaten genau dem entsprechen, was derzeit als Proof-of-Concept kursiert. Die IP-Adressen, von denen die Pakete stammen, gehören zu einem Bot-Netzwerk, das seit Längerem versucht, den Datenverkehr des IRC-Netzwerks Freenode mitzuschneiden. Die Betreiber eines solchen Bot-Netzes werden von Sicherheitsexperten in Geheimdienstkreisen vermutet.
Bruce Schneier klassifiziert in seinem Blog die Lücke als katastrophal. Auf einer Skala von eins bis zehn vergibt Schneier augenzwinkernd eine Elf. Er vermutet, dass die privaten Schlüssel und weitere Daten eines jeden Ziels, das mit dieser Lücke ausgebeutet wurde, bei sämtlichen Geheimdiensten gespeichert sind. Er verweist zudem auf die oft nur schwierig zu aktualisierenden eingebetteten Systeme, die OpenSSL verwenden. Schneier fragt sich zudem, ob die Lücke, die von einem deutschen Studenten für seine Dissertation vermutlich versehentlich implementiert wurde, wirklich ein Versehen war.
Die »Electronic Frontier Foundation« (EFF) hat in den letzten Tagen versucht, verlässliche Informationen über das Vorleben der Lücke zusammen zu tragen. Das erfreulichste, was sich zum jetzigen Zeitpunktüber den gesamtem Vorfall sagen lässt, ist, dass er Anlass für einen XKCD-Kurzcomic gab.
){kind=small}
