Spionage-Botnet nutzte Heartbleed-Lücke schon vor Monaten aus

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Die fatale Heartbleed-Lücke in OpenSSL wird möglicherweise schon seit Monaten ausgenutzt. Der Gründer der niederländischen Firma MediaMonks hat bereits im November vergangenen Jahres verdächtige SSL-Handshakes aufgezeichnet, bei denen der Heartbleed-Angrifffscode genutzt wurde, wie die Electronic Frontier Foundation (EFF) berichtet.

Schnüffelndes Botnet

Die Datenpakete stammen von den IP-Adressen 193.104.110.12 und 193.104.110.20, die anscheinend zu einem größeren Botnet gehören. Dieses wurde bislang genutzt, um systematisch Unterhaltungen in IRC-Netzwerken aufzuzeichnen. Nach Einschätzung der EFF ist dies ein Indiz dafür, dass es sich eher um einen Geheimdienst als um Cyber-Kriminelle mit kommerziellen Interessen handelt.

Die EFF ruft Server-Betreiber jetzt dazu auf, ihre Logs nach der TCP-Payload 18 03 02 00 03 01 40 00 oder 18 03 01 00 03 01 40 00 zu durchsuchen. Der Wert 0x4000 am Ende könne unter Umständen auch durch eine niedrigere Nummer ersetzt worden sein. Darüber hinaus können auch weitere Log-Einträge aus dem IP-Adressbereich 193.104.110.* interessant sein.

Weniger verwundbare Server

Unterdessen geht die Anzahl der immer noch verwundbaren Server zurück. Bei einer erneuten Überprüfung der 10.000 meistbesuchten Websites am Donnerstagnachmittag waren 150 anfällig. Zwei Tage zuvor war noch die vierfache Menge angreifbar. Die Wahrscheinlichkeit, dass die übrigen Seiten überhaupt noch abgesichert werden, ist allerdings gering: Betreiber, die trotz des ernormen Medienechos jetzt noch nicht von dem SSL-GAU erfahren haben, werden es vermutlich auch in Zukunft nicht mitbekommen.

Wie erschreckend einfach der Heartbleed-Exploit funktioniert, zeigt ein Hintergrundartikel von heise Security:

• So funktioniert der Heartbleed-Exploit
  

(rei)