Heartbleed-Worstcase: Server-Schlüssel kann ausgelesen werden

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Wie realistisch die Bedrohung ist, dass jemand den geheimen Schlüssel eines durch den OpenSSL-Bug "Heartbleed" angreifbaren Servers gezielt auslesen kann, wollte das US-amerikanische Content Delivery Network CloudFlare untersuchen. Es setzte dazu einen nginx-Webserver mit einer verwundbaren OpenSSL-Version auf und forderte die Community auf, dessen Private Key auszulesen. Nur neun Stunden später gelang das zwei voneinander unabhängigen Personen. Fedor Indutny, der die Aufgabe als Erster löste, benötigte dafür 2,5 Millionen Serveranfragen in diesem Zeitraum. Der Zweitschnellste, Ilkka Mattila, sendete in der gleichen Zeit hunderttausend Requests. In der Folge gelang es noch zwei weiteren Personen.

Bis dahin war nicht ganz klar, ob diese Kronjuwelen eines SSL-Servers in der Praxis tatsächlich einer realen Gefahr ausgesetzt seien. Die Entdecker der Lücke behaupteten zwar, sie hätten das mit dem eigenen Server geschafft. Doch Versuche, das zu reproduzieren, gelangen nur selten und dann mit recht speziellen Randbedingungen, wie der, dass es der erste Request direkt nach einem Neustart sein musste. Cloudflare hatte zuvor aus theoretischen Überlegungen sogar geschlossen, dass die Chancen für einen solche Angriff gering seien.

Diese Einschätzung sieht CloudFlare jetzt widerlegt. Die Ausrichter des Tests versichern, dass alle Beteiligten nur mit Hilfe des Heartbleed-Exploits an den geheimen Schlüssel kamen. Das Unternehmen hatte den Server nach eigenen Angaben auch nur einmal neu gestartet. Die Challenge habe gezeigt dass weder die "Macht der Masse" noch die Heartbleed-Sicherheitslücke selbst unterschätzt werden sollten.

Wer seine Zertifikate noch nicht ausgetauscht hat, sollte es spätestens jetzt tun. Dadurch könnten allerdings unter Umständen diverse Schwierigkeiten resultieren, erklärt CloudFlare, denn das Zertifikatsmodell ist nicht auf einen Massenrückruf ausgelegt. Für seine Webseite mit der Challenge hat das Unternehmen das Zertifikat zurückgezogen, hält die Seite aber weiterhin aktiv, damit Nutzer die Sicherheits- und Vertrauenseinstellungen ihrer Browser überprüfen können. (ur)