Go to Top

Update: Heartbleed Bug – Wenn es im Herzen von OpenSSL blutet

Was ist der „Heartbleed Bug“?

Bei dem „Heartbleed Bug“ handelt es sich um eine Sicherheitslücke im weitverbreiteten OpenSSL. Die SSL/TLS Verschlüsselung wird genutzt, um die Kommunikation bestimmter Anwendungen im Internet zu schützen. Zu den Anwendungen zählen Web, Email, Instant Messaging (IM), VPN Verbindungen und viele mehr. Diese Sicherheitslücke erlaubt es Daten auszulesen, die mithilfe von SSL/TLS verschlüsselt sind, indem es den Speicher vom System ausliest, die durch OpenSSL gesichert sind. Im Speicher ist der Schlüssel zum entschlüsseln des Datenverkehrs enthalten (private Key des Zertifikates). Mit diesem kann ein Angreifer den Datenverkehr, welcher durch SSL/TLS gesichert ist, entschlüsseln und so den kompletten Inhalt des Datenverkehrs auslesen (Man-in-the-Middle), welcher Passwörter, Benutzerdaten und viele weitere sensible Daten enthalten kann.

Was passiert bei dem „Heartbleed Bug“?

Zunächst einmal was normalerweise passieren soll:

  • Eine Person baut eine verschlüsselte (TLS) Verbindung zu einem Server auf.
  • Nun sendet die Person einen so genannten „Heartbeat-Request“, um dem Server mitzuteilen, dass dieser die Verbindung aufrechterhalten soll.
  • Jetzt sendet die Person ein Paket mit ein paar Bytes und behauptet es wären 65535 Bytes (64KB)

Das Heartbeat System kopiert nun die Daten der Anfrage in ein Antwort Packet und sendet dies an die anfragende Person zurück, dadurch erkennt diese, dass die Verbindung korrekt läuft.

Bei den vom „Heartbleed Bug“ betroffenen Systemen passiert jedoch folgendes:

  • Statt nur den Request Inhalt zu kopieren werden 65535 Bytes in das Antwort Paket kopiert, beginnend mit den Request-Packet Daten. Anschließend wird der Input-Buffer überflutet.
  • Nun werden alle 65535 Bytes zurück zu der anfragenden Person gesendet. Dieses Paket enthält das Request-Packet und Daten aus dem Arbeitsspeicher des Servers!

Somit ist das was hier passiert ein „Buffer Overflow“ anders herum. Statt zu viele Daten zu senden um das andere Ende zum Absturz zu bringen, werden hier zu wenige Daten gesendet, um das andere Ende dazu zu bringen es mit eigenen Daten zu füllen. Dabei können dann auch Daten, die besonders sensibel sind (Passwörter, Usernames usw.) in das Antwort Packet gelangen.

Der „Heartbleed Bug“ hat auch schon einen Eintrag im CVE (Common Vulnerabilities and Exposures) Industriestandard.

Weiteres können Sie auf dieser Seite lesen: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

Wie können Sie sehen ob sie betroffen sind?

Es können nur Systeme betroffen sein, die auch OpenSSL verwenden. Dabei ist zu beachten, dass nur folgende Versionen von OpenSSL angreifbar sind:

  • OpenSSL 1.0.1 bis inklusive 1.0.1f

Folgende OpenSSL Versionen sind nicht angreifbar:

  • OpenSSL 1.0.1g
  • OpenSSL 1.0.0
  • OpenSSL 0.9.8

Wir informieren Sie auch über den aktuellen Bugfix Stand bestimmter Hersteller.

Weitere Informationen dazu finden Sie hier: Stellungnahme der Hersteller zum Heartbleed Bug

Sollten Sie sich nicht sicher sein, ob Sie betroffen sind, können Sie sich gerne bei uns melden: Wir überprüfen Ihre Systeme.

Wie können Sie sich dagegen schützen?

Achten Sie auf Informationen, bezüglich eines Hotfixes oder eines Patches, der Hersteller Ihrer Systeme und spielen sie diese so schnell wie möglich ein. Die Sicherheitslücke wird mit einem Update von OpenSSL auf die Version 1.0.1g geschlossen.

Weiterhin empfehlen wir

  • Nachdem Sie die Sicherheitslücke auf Ihren Systemen durch ein Update geschlossen haben, sollten Sie die Passwörter für diese Systeme ändern!
  • Auch das ändern von Passwörtern von externen Anwendungen (Cloud) sollten, nachdem die Betreiber die Sicherheitslücke geschlossen haben, geändert werden!
  • Tauschen Sie ihre SSL-Zertifikate beim Hersteller aus!
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung!

Bei weiteren Fragen können Sie sich gerne bei uns telefonisch oder per Mail melden, wir helfen Ihnen gerne!

Update vom 14.4.2014

Nun ist es nicht mehr nur Theorie, sondern auch erwiesen: Es ist möglich den „private Key“ auszulesen. In einem durch die Firma Cloudflare ausgerufenen „Hacker-Contest“ auf eine Testsystem mit NGINX und openSSL ist es mehreren Pen-Testern gelungen den private Key aus den durch den Heartbleed Bug gewonnenen Datenpaketen zu extrahieren. Diese Meldung macht es nur um so wichtiger Ihre Zertifikate zu erneuern, auch wenn das keine 100 Prozentige Sicherheit bringt. (Links hier und hier)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.