Heartbleed-Bug: Das Internet im Kreuzverhör

Artikel von · 14. April 2014 ·
National Security Operations Center

National Security Operations Center


Der Heartbleed-Bug ist zurzeit in aller Munde. Diese Sicherheitslücke betrifft leider nicht nur einige wenige Anwendungen.
OpenSSL ist eine der wichtigsten Komponenten im Web. Der Fehler in der Open-Source-Bibliothek war für mindestens 27 Monate aktiv. Worum es sich dabei handelt, soll im folgenden Artikel beschrieben werden.

Als Heartbleed-Bug wird ein wahrscheinlich mit Absicht implementierter Fehler im Quellcode der Sicherheitssoftware „OpenSSL“ bezeichnet. OpenSSL wird auch von großen Internet-Giganten, wie Google, Microsoft, Yahoo, Instagram, Facebook etc. verwendet, um die Daten ihrer Benutzer zu verschlüsseln. Diese Sicherheitslücke ermöglicht es, die verschlüsselten Daten der Benutzer auszulesen. Wahrscheinlich gelingt dies sogar, ohne dabei Spuren zu hinterlassen. Der Bug wurde von Neel Mehta (Google Security) und unabhängig davon, von Sicherheitsingenieuren der Firma Codenomicon entdeckt. Angeblich war diese Schwachstelle in der Open-Source-Bibliothek vorher unbekannt.

Der Angriff auf einen Server via Heartbleed ist vergleichsweise leicht durchführbar. Wer hingegen die verschlüsselten Daten eines Clients auslesen will, muss entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden. Da OpenSSL langfristig als sicher galt, haben es zahlreiche Unternehmen fest in ihre Online-Dienste integriert. In der Konsequenz ist so gut wie jeder Internetnutzer von Heartbleed betroffen.

Heartbleed: Wie entstand der Fehler?

Dazu muss man wissen, OpenSSL ist ein Open-Source-Projekt. Das bedeutet, jeder kann den Quellcode einsehen, bearbeiten und unter Umständen sogar eine eigene Version der Software veröffentlichen, die wiederum von Dritten benutzt wird. Einem deutschen Programmierer wird vorgeworfen, er habe diese Schwachstelle im Verschlüsselungsprotokoll eigenhändig erstellt und in den Quellcode integriert. In seiner wissenschaftlichen Abhandlung weist der frühere Student explizit auf die Möglichkeiten zur Ausnutzung dieser Sicherheitslücke hin. Wider besseren Wissens hat er die in der Dissertation beschriebene Schwachstelle nicht aus seinem Quellcode entfernt. Auf die Anschuldigungen angesprochen beteuert er, dies sei ohne Absicht geschehen.

© Heartbleed.com

© Heartbleed.com

Wie kann ich mich vor Heartbleed schützen?

Betroffen von der Sicherheitslücke sind unter anderem die Benutzernamen und Passwörter, die von Dritten mitgelesen werden können. Für den Fall, dass der Bug noch nicht mit absoluter Sicherheit behoben wurde, muss man beim Ändern der Passwörter befürchten, dass Geheimdienste oder Cyberkriminelle auch die neuen Zugangsdaten auslesen. Cyberkriminelle könnten damit Kreditkarten missbrauchen und die Bankkonten ihrer Opfer ausplündern. Geheimdienste wollen sich offline wie online Zugriff auf alle möglichen Informationen verschaffen, die schlichtweg ihrem (unberechtigtem) Interesse entsprechen.

Was hat die NSA damit zu tun?

Die Nachrichtenagentur Bloomberg berichtete, dass der Heartbleed-Bug praktisch von Beginn an von der NSA ausgenutzt wurde. Die Pressestelle der NSA hingegen behauptet, sie hätten vor April 2014 keine Kenntnis von dieser Schwachstelle gehabt. Wie gesagt: Angriffe unter Ausnutzung von Heartbleed erscheinen für Geheimdienste geradezu ideal, weil beim Knacken der Verschlüsselung keinerlei Spuren hinterlassen werden. Das Dementi des NSA-Direktors erscheint entsprechend wenig glaubhaft.

Mehr zu diesem Thema:

5 Kommentare

  • comment-avatar

    Michael

    Wie begründen Sie die Aussage, dass der Fehler wissentlich („absichtlich“) implementiert wurde? Wäre es vom genannten Programmierer nicht grob fahrlässig und ziemlich dumm, das unter seinem eigenen Namen zu tun?

    Solche Thesen ohne Beweise sind doch besser auf einer Montagsdemo aufgehoben..

    • comment-avatar

      John Doe

      Hallo Micheal,

      begründen kann man dies nicht. Man kann nur spekulieren und auf die Aufträge gewisser Geheimorganisationen hinweisen die der genannte Programmierer bekommen hat.

      Ebenfalls möchte ich noch sagen das wenn man nicht wenigstens ein bisschen etwa hinterfragt und immer nur abnickt, dann wird man wohl niemals die volle Wahrheit erfahren – geschweige denn überhaupt etwas.

      Grüße.

      • comment-avatar

        Die Geschichte mit dem Bug ist wirklich sehr merkwürdig. Ich schreibe doch nicht über eine dicke Sicherheitslücke in meiner eigenen Dissertation und vergesse diese dann zu entfernen, oder?

  • comment-avatar

    Hier eine gute Liste, bei welchen Diensten man ein neues Passwort anlegen muss: https://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

    • comment-avatar

      John Doe

      Hallo Arno,

      ich danke dir für die Liste. Im Grunde kannst du überall dein Passwort ändern – Sicher ist Sicher.

      Ebenso muss ich leider auch sagen das man das Thema auch kritisch behandeln sollte: Facebook zum Beispiel schreibt das Sie den Bug ausgebessert haben bevor dieser überhaupt Publik wurde, jedoch kontrollieren kann das niemand.

      Grüße.


Schreib einen Kommentar