Man soll alles verschlüsseln. Emails, Chats, Datenübertragungen. Alles. Und dann so etwas. Mit OpenSSL soll man eigentlich Datenverkehr vor unerwünschtem Zugriff dritter schützen können. Und dann hat dieses System eine schwere Sicherheitslücke. Insofern ist es so wie bei den Fischen, die vom Kescher weggetrieben werden, um im Fangnetz zu landen.
HeartBleed ist ein Fehler im OpenSSL, bei dem es einem Angreifer gelingt, bis zu 64 KB des Hauptspeichers auf der Gegenstelle (also z.B. einem Webserver) auszulesen. Dabei ist es möglich, Passwörter auszulesen oder den privaten Schlüssel des Serverzertifikats zu entwenden. Hierbei hinterlässt der Angreifer nicht einmal Spuren. Das heißt, dass der Administrator des Webservers gar nichts von dem Datenklau mitbekommt.
Es ist dann möglich, mit den abgeschöpften Daten aufgezeichneten Datenverkehr zu lesen. Genauso gut kann sich ein Angreifer zwischen Sender und Empfänger klinken und live und in Farbe in Form einer Man-in-the-Middle-Attacke Vollzugriff auf die Kommunikation erlangen. Dies ist ein ernst zu nehmendes und sehr schwerwiegendes Sicherheitsproblem, womit sich das „OpenSSL Development Team“ herumschlagen muss.
Und ich weiß noch, dass es gar nicht so lang her ist, dass im Zuge des Krawehl-Krawehl-NSA-Spionage-Geschreis gerade zu OpenSSL geraten wurde. Nun werden die Nutzer gerade über diesen empfohlenen Weg kompromittiert. Das meinte ich oben mit den Fischen.
Wie kann man sich denn nun davon überzeugen, ob eine Webseite eventuell dieser Sicherheitslücke ausgesetzt ist? Für die HeartBleed-Lücke gibt es für den Browser Google Chrome eine Erweiterung namens „ChromeBleed“. Die ist ganz fix installiert und läuft im Hintergrund. Ist eine Seite kompromittiert, dann alarmiert das Plugin den Nutzer. Beim Test mit meiner Seite ist mir nichts aufgefallen. Daneben sollte man umgehend den eingesetzten Browser – also Google Chrome, Firefox, Internet Explorer etc. – auf den aktuellen Stand bringen:
- Firefox aktualisieren Sie über Firefox -> Hilfe -> Über Firefox
- Chrome aktualisieren Sie über das Einstellungsmenü -> Über Google Chrome
- Der Internet Explorer wird wahrscheinlich umgehend per Windows Update aktualisiert
Webseiten-Betreiber sollten dringend die Zertifikate erneuern und vorher OpenSSL aktualisieren. Denn Sicherheitsexperten sprechen von einem katastrophalen Fehler, der da passiert ist. Rasches Handeln ist also durchaus geboten.
Die Lücke soll kaum überschaubaren Ausmaßes sein. Wie tückisch das alles ist, schreibt das Technik-Magazin Golem. Die Huffington Post beantwortet wichtige Fragen zu dem Desaster. Sie können sicher sein, es ist eine gefährliche Lücke, da auch das Online Banking betroffen sein kann. Nehmen Sie das Ganze also auf keinen Fall auf die leichte Schulter.
Natürlich kann man auch reißerisch zu Werke gehen, indem man wie DIE WELT von einem Internet-Super-GAU erzählt. Fakt ist, dass hier besonnen gehandelt werden sollte. Denn eins ist mal sicher: Microsoft zum Beispiel hat hier gute Arbeit im Vorfeld geleistet. Man schimpft immer auf den Konzern aus Redmond, aber hier lagen sie richtig, dass die Systeme abgeriegelt sind:
- Der Microsoft Account (outlook.com / Skype / die LiveID) ist nicht betroffen
- Azure / Office 365 ist nicht betroffen
- Die Windows-Implementation von SSL und TLS ist nicht betroffen
- Die Internet Information Services sind nicht betroffen
Das alles schreibt Ben Ari, Sicherheitspezialist bei Microsoft, im Technet-Blog. Ich würde sogar soweit gehen und behaupten, dass der Internet Explorer mit eingesetztem InPrivat Browsing nicht betroffen sein könnte.
Aber noch einmal: Nehmen Sie die Lücke im OpenSSL bloß nicht auf die leichte Schulter. Denn „HeartBleed“ kann man mit „Herz ausbluten lassen“ umschreiben. Das Internet soll wichtige Informationen ausbluten. Und das ist nicht zu unterschätzen.
One Reply to “HeartBleed – OpenSSL schwer angeschlagen”