Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen

628 der meistbesuchten Websites waren für den folgenschweren SSL-Bug anfällig – und sind es zum Teil sogar noch immer. Tests belegten, dass die Lücke auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter erlaubt.

In Pocket speichern vorlesen Druckansicht 405 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis
Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Nach und nach wird klar, welcher Schaden bereits durch die fatale Sicherheitslücke in dem Krypto-Framework OpenSSL entstanden ist oder noch entstehen wird. Bei einer Überprüfung der laut Alexa 10.000 meistbesuchten Websites erlaubten 628 Server am Dienstagnachmittag intime Einblicke in ihren Arbeitsspeicher. Darunter befinden sich allerhand prominente Namen wie etwa die HypoVereinsbank, Yahoo, Flickr, Kaspersky, der Zahlungsabwickler AfterBuy, Yahoo, Sparkasse.at, BitTorrent sowie viele mehr. Am gestrigen Dienstag berichteten wir bereits über die Anfälligkeit von Adobe, Web.de, VeriSign und weiteren. Die Liste lässt sich beliebig fortsetzen.

Besonders bitter ist allerdings, dass bei Stichproben am Mittwochnachmittag zahlreiche Dienste noch immer verwundbar waren. So hat etwa der Speicherdienst Rapidshare.com durch die Lücke Details über das Download-Verhalten seiner Nutzer verraten und bei dem DynDNS-Dienst von Synology konnte man bis vor kurzem noch Mail-Adressen und Nutzerpasswörter einsehen. Beide Unternehmen reagierten erst, nachdem sie von heise Security über das akute Sicherheitsproblem informiert wurden.

Tomas Rzepka ist es gelungen, durch die Heartbleed-Lücke auch auf private Krypto-Schlüssel zuzugreifen.

(Bild: Twitter)

Grundsätzlich muss man alle vertraulichen Daten, die über die Server gelaufen sind, als kompromittiert betrachten. Ein Angreifer bekommt die sensiblen Daten dabei auf dem Silbertablett serviert, da er ausgerechnet Einblick in den Speicherbereich von OpenSSL erhält. In dem durch die Lücke abrufbaren Bereich des Speichers können sich nicht nur Klartext-Zugangsdaten befinden, sondern auch Sitzungs-IDs und sogar die privaten Schlüssel, die die Server zur Verschlüsselung des SSL-Traffic benutzen. Ein Angreifer, der in der Vergangenheit bereits verschlüsselten Datenverkehr aufgezeichnet hat, kann ihn damit nachträglich entschlüsseln (sofern der Server-Betreiber nicht Perfect Forward Secrecy aktiviert hat).

Bis zum Nachmittag hat der DynDNS-Dienst von Synology noch Zugangsdaten im Klartext verraten.

Es sind auch schon erste Fälle von Missbrauch bekannt. So hat etwa Ars Technica all seine Leser aufgefordert, ihre Passwörter zu ändern, nachdem sich die Fälle gehackter Accounts häuften. Wer einen Server betreibt, auf dem eine verwundbare OpenSSL-Version mit aktiver Heartbeat-Funktion läuft, sollte zunächst einmal die Krypto-Bibliothek auf den aktuellen Stand bringen und anschließend auf dem Server genutzte Private Keys und Zertifikate erneuern.

Laut Daten der Statistikfirma Netcraft ist Heartbeat auf fast 18 Prozent aller Webserver aktiv, die SSL nutzen. Das Unternehmen sieht etwa eine halbe Million Webseiten-Zertifikate in Gefahr. Die Zahl könnte sogar noch höher sein, da Netcraft nur Webserver untersucht hat. Es können aber auch Mailserver und Co. anfällig sein. (rei)