Heartbleed – Sicherheitslücke in OpenSSL
Webserver und Programme sind von der Heartbleed-Sicherheitslücke betroffen, Millionen Nutzer müssen ihre Passwörter ersetzen und neue Software installieren. Doch um was genau handelt es sich bei Heartbleed und wie sollte man jetzt verfahren. Einige Fragestellungen ist der eBusinessLotse Schwaben durchgegangen und hat die Probleme zusammengefasst.
Was genau ist Heartbleed?
Es ist eine schwerwiegende Sicherheitslücke in einer populären Verschlüsselungsfunktion Open-Source-Bibliothek OpenSSL. Genauer handelt es sich um einen schwerwiegenden Programmierfehler mit dem es möglich ist, sensible Informationen und Login-Daten abzugreifen.
Was kann ein Angreifer mit Heartbleed auslesen und sind wirklich private Keys bedroht?
Heartbleed ermöglichtes jedem Kommunikationspartner, kritische Teile des Arbeitsspeichers der Gegenseite auszulesen. Was sich in diesem Speicher befindet, ist nicht vorhersehbar, da dies von vielen Faktoren abhängt und wie etwa, das Betriebssystem Daten im Speicher ablegt und was die Anwendung dort alles in welcher Reihenfolge speichert. Es gab aber auf Twitter zahlreiche Berichte, wonach bei Versuchen TLS-Sessioncookies und teilweise auch Benutzernamen und Passwörter von anderen Nutzern ausgelesen wurden.
Welche Programme benutzen OpenSSL?
OpenSSL ist in der freien Softwarewelt quasi Standard und die Webserver Apache und nginx, gängige Mailserver wie Postfix oder Sendmail, sowie die meisten FTP-Server, Jabber-Server und sehr viele mehr verwenden diese Kryptobibliothek.
Auf Clientseite sind es etwas weniger und die gängigsten Browser benutzen überwiegend andere Bibliotheken. Der Internet Explorer setzt auf SCHannel von Windows, Firefox und Chrome nutzen für ihre SSL-Verbindungen NSS. Für die viel verwendeten Mailprogramme Thunderbird und Outlook Express gilt das gleiche. Allerdings gibt es unzählige andere Clientprogramme, die OpenSSL einsetzen, wie Wget, Curl oder 1&1 Mail bis hin zu einigen Browsern wie Opera. Da die Lizenz von OpenSSL relativ liberal ist, erlaubt sie die Verwendung des Codes auch in kommerziellen, nicht quelloffenen Programmen. Daher ist es kaum umfassend überprüfbar, wer alles einen OpenSSL-Code in seine Programme einbaut.
Sind Server und Clients betroffen?
Ja, jedoch in unterschiedlichem Ausmaß, da ein Angriff auf einen Server trivial ist und sich mit einem simplen Verbindungsaufbau mit Hilfe eines manipulierten Datenpakets durchführen lässt.
Was gilt für Windows, Linux, MacOS und andere Betriebssysteme?
Apple nutzt eine ältere Version von OpenSSL (0.9.8), die nicht von Heartbleed betroffen ist. Windows selbst besitzt eine eigene SSL-Bibliothek namens SChannel, die nichts mit OpenSSL zu tun hat. Unter nahezu allen Linux-Distributionen gehört OpenSSL zur Standardausstattung, welches auch für alle BSD-Systeme gilt. Alle wichtigen Distributionen haben bereits Updates bereitgestellt, die Anwender, falls nicht schon geschehen, umgehend installieren sollten. Für alle Betriebssysteme gilt unabhängig davon: Es ist immer möglich, dass Programme ihre eigene OpenSSL-Version mitliefern. Auf Webservern betrifft es beispielsweise das SPDY-Modul (Netzwerkprotokoll) von Google.
Was müssen Server-Administratoren beachten?
Überprüfen Sie, ob von Ihnen betriebene Dienste die OpenSSL-Bibliothek in einer verwundbaren Version (1.0.1 und 1.0.2-beta, 1.0.1f und 1.0.2-beta1) verwenden und aktualisieren sie schnellstmöglich ihre Version. Nach der Aktualisierung muss das System neu gestartet werden. Dieses gilt für Webserver als auch Mailserver. Andernfalls haben diese die alte OpenSSL-Version noch im Speicher.
Webseitenbetreiber sollen Zertifikate austauschen. Was muss man dabei beachten und wie kooperativ verhalten sich die Zertifizierungsstellen?
Es kann nicht zweifelsfrei ausgeschlossen werden, dass die Werkzeuge zur Verschlüsselung der eigenen Internetdaten gestohlen wurden. Daher empfehlen Fachleute den Austausch der wichtigen Zertifikate. Wer auf der sicheren Seite sein möchte, sollte die Schlüssel neu beantragen rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wichtig ist, dass man nicht einfach ein bestehendes Zertifikat erneuert, sondern ein komplett neues Zertifikat mit einem neuen privaten Schlüssel erstellt. Wichtig ist auch zu überprüfen, dass das alte Zertifikat von der entsprechenden Zertifizierungsstelle wirklich zurückgezogen wurde. Das kann man beispielsweise mit dem OCSP-Tool (Zertifikatserkennung) von OpenSSL testen, die Bedienung ist allerdings nicht gerade nutzerfreundlich.
Müssen auch Passwörter ersetzt werden?
Zwar wurden die meisten Webseiten und Dienste mittlerweile gepatcht, im Grunde müsste aber jeder Nutzer einer gefährdeten Seite sein Passwort wechseln. Eine einfache Möglichkeit, herauszufinden, ob eine Webseite oder ein Dienst anfällig ist, bieten der Heartbleed-Checker von LastPass, oder der von Filippo Valsorda bereitgestellte Test. Durch diese Tests lässt sich feststellen, ob eine Seite schon gepatcht wurde oder noch anfällig ist. Generell lässt es sich aber nur schwer erkennen, welche Seiten anfällig waren.
Was kann man noch tun, um sich zu schützen?
Tendenziell kann man nicht viel machen, da potenziell auch Bankdaten oder Kreditkartennummern betroffen sind, daher sollte man in den nächsten Wochen seine Kontoaktivitäten besonders gut im Auge behalten.
Ansprechpartner:
Florian Mattler
Projektmanager eBusinessLotse Schwaben
aiti-Park IT-Gründerzentrum GmbH
Werner-von-Siemens-Straße 6
86159 Augsburg
Tel: +49 821 4 50 433-106
Fax: +49 821 4 50 433-109
E-Mail: f.mattler@aiti-park.de
Der eBusinessLotse Schwaben ist Teil der Förderinitiative „eKompetenz-Netzwerk für Unternehmen“, die im Rahmen des Förderschwerpunkts „Mittelstand-Digital – IKT-Anwendungen in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Technologie (BMWi) gefördert wird. Der Förderschwer-punkt unterstützt gezielt kleine und mittlere Unternehmen (KMU) sowie das Handwerk bei der Entwicklung und Nutzung moderner Informations- und Kommunikationstechnologien (IKT). Mittelstand-Digital setzt sich zusammen aus den Förderinitiativen „eKompetenz-Netzwerk für Unternehmen“ mit ca. 38 eBusiness-Lotsen, „eStandards: Geschäftsprozesse standardisieren, Erfolg sichern“ mit etwa 11 Förderprojekten und „Einfach intuitiv – Usability für den Mittelstand“ mit zurzeit 10 Förderprojekten. Weitere Informationen finden Sie unter www.mittelstand-digital.de.
Quelle: eBusinessLotse Schwaben
