Heartbleed: Der plötzliche SSL-GAU

Verschlüsselung ist eine tolle Sache. Und bringt Sicherheit. Dumm nur, wenn ausgerechnet ein Softwarefehler die IT-Welt umkehrt und der Einsatz von SSL geheimste Dinge offenlegt: der Heartbleed-Bug.

Das kritische Szenario

Das Transportprotokoll SSL (Secure Socket Layer) kennt jeder, zumindest unbewusst. Die Absicherung der über das Internet versendeten Daten ist eine Alltagsaufgabe, die jeder Browser in der Kommunikation mit einem Webserver am anderen Ende zu erledigen hat. Sind sicherheitskritische Daten an den Server zu senden (z.B. bei der Anmeldung) wird von Http auf Https gewechselt. Dies erfolgt meist automatisch. Der Client prüft das Zertifikat des Servers und sendet – so alles in Ordnung – dann verschlüsselt.

Was ging schief?

Die Schwachstelle in OpenSSL war eine kleine aber sehr schwerwiegende. Das Problem bestand in der Heartbeat-Funktion von SSL bzw. TLS. Dabei sendet der Client (Browser) in regelmäßigen Abständen ein kleines Paket an den Server, um diesem zu signalisieren, dass die Verbindung noch aktiv ist. Der Server antwortet entsprechend, indem er denselben Inhalt zurücksendet. Das versendete Datenpaket enthält eine Angabe zur Größe des Inhalts. Und hier kommt es zum SSL-GAU. „Lügt“ der Client und sendet nur ein Byte, in der Längenangabe ein Vielfaches davon, so sendet der Server eine entsprechende Anzahl an Kilobytes aus seinem Puffer – Daten, die mit dem Heartbeat-Datenpaket nichts mehr zu tun haben. Darunter auch geheimste Daten, wie Logins und Kennwörter. Etwas mehr zum technischen Hintergrund finden Sie hier.

Kein üblicher Kennwort-Diebstahl

Der Angreifer nutzt diesen Fehler im SSL-Code und erhält vom Webserver damit zusätzliche (interne) Daten. Welche dies sind, entscheidet aber nicht der Client, sondern der aktuelle Pufferinhalt des Servers. Es ist damit also nicht möglich, gezielt bestimmte Zugangsdaten abzugreifen. Der Hacker nimmt, was der Server ihm bietet – das aber über eine lange Zeitdauer immer wieder (die Schwachstelle ist mindestens zwei Jahre alt und betrifft eine Vielzahl von OpenSSL-Versionen).

Wer ist betroffen?

OpenSSL ist ein Modul, welches einen Service um die Verschlüsselungsmöglichkeit erweitert. Es stammt aus dem Open-Source-Bereich und kommt vor allem in Linux-Umgebungen auf Apache Webservern zum Einsatz. Aber auch andere Hersteller haben diese Bibliothek in ihre Produkte integriert. Damit ist die Katastrophe perfekt: Millionen von öffentlich zugänglichen Servern – das ist nun mal der Sinn von Webservern – müssen nun gepatcht werden. Damit aber nicht genug. Auch alle Zertifikate dieser Server sind nicht mehr vertrauenswürdig, da der private Teil der ID ja gestohlen worden sein könnte. Genau aber dem vertrauen alle Webbrowser dieser Welt! Webserver, die unter der Microsoft-Fahne segeln, sind von der Lücke nicht betroffen. Der Internet Information Server setzt auf andere Module der Verschlüsselung. Dennoch liest sich die Liste der betroffenen Firmen und Diensten wie das Who-is-Who des Internet. Eine Aufstellung betroffener öffentlicher Anbieter finden Sie auf Mashable. Update-Zeit ist aber auch im Virtualisierungsumfeld (VMware ESXi5.5 und andere) und bei Mailserver, die OpenSSL für TLS benutzen angesagt.

Was kann der Anwender tun?

Wenig. Der Dienstleister (Bank, Webmail-Anbieter, Cloud-Dienste) muss zu allererst seine Systeme patchen und auf die aktuellste Version von OpenSSL migrieren. Keine große Übung, die Masse macht dies aufwendig. Der Nutzer dieser Dienste kann den Status des Servers über eine Abfrage des Host- oder Domänennamens hier überprüfen. Gibt es grünes Licht, so hat der Anbieter das System gepatcht oder es war von der Sicherheitslücke nicht betroffen.

Erst der Patch, dann das Zertifikat

Jetzt kommt aber der entscheidende und schwierige Teil: das Zertifikat. Das alte (jenes zum Zeitpunkt der Bekanntmachung der Schwachstelle) darf nicht mehr verwendet werden. Es könnte ja gestohlen worden sein. Dieses muss offiziell bei der Registrierungsstelle (CA) zurückgerufen und statt diesem ein neues installiert werden. Erst wenn dieser Vorgang umgesetzt wurde, kann das System für den Nutzer wieder als sicher eingestuft werden. Diese Überprüfung ist aber für den Endanwender sehr aufwendig bzw. unmöglich. Hier hilft nur die Einforderung einer direkten Stellungnahme des Anbieters oder das Vertrauen auf ausgewählte IT-Medien.

Schon wieder Kennwörter ändern!

Der richtige Arbeitsaufwand für uns alle kommt jetzt: Passwörter ändern. Welche und warum? Da es keine Möglichkeit gibt herauszufinden, welche Server über die Schwachstelle ausspioniert wurden, gilt der Gerneralverdacht. Jedes Kennwort, welches beim Besuch einer verschlüsselten Seite genutzt wurde, könnte von Unbekannten ausgelesen worden sein. Von Google und Dropbox, von Yahoo bis Web.de – alle waren von Heartbleed in Mitleidenschaft gezogen. Und eben darum, muss jeder Nutzer dieser Dienste sein Kennwort auf dieser Plattform neu vergeben.

Die Stunde des Passwort-Managers

Wie schon viel zu oft erwähnt (und dennoch vielfach nicht berücksichtigt): jede Plattform, jeder Serverzugang, jeder Dienst sollte mit einem unterschiedlichen Kennwort genutzt werden. Dieses Passwort muss dann auch noch lang und komplex gewählt werden. Im Rahmen dieser „Massenänderung“ eine zeitraubende Aufgabe.

Hier kann ein Passwort-Manager große Hilfe leisten. Je nach eingesetztem Tool kann diese mit einem Klick neue, komplexe Kennwörter generieren und sofort wieder sicher ablegen. Noch immer ein erheblicher Aufwand aber bei weitem einfacher, schneller und sicherer als die manuelle Änderung. Aber wie gesagt: dieser Vorgang macht erst Sinn, wenn der Anbieter seine Hausaufgaben gemacht hat. Ansonsten ist das neue Kennwort sofort wieder auslesbar.

Mehr Sicherheit durch IPS

Eine schnelle Reaktion auf entdeckte Sicherheitslücken ist im Firmenumfeld schon immer Pflicht. Im Gegensatz dazu steht meist die tiefergehende Recherche der Schwachstelle. Einen effizienten Ausweg aus diesem Widerspruch bietet der Einsatz von IPS-Systemen (Intrusion Protection). Ein guter Hersteller füttert die Abwehreinheit meist schon nach wenigen Stunden mit entsprechenden Signaturen, die den Datenverkehr von Spähern blockieren. Dies bringt wichtige Zeit bis zur Behebung der eigentlichen Schwachstelle und eine zusätzliche Sicherheitsebene. Firewalling ist heute mehr als nur noch Portkontrolle.

Sicherheit und Zeit

Heartbleed hat in beeindruckender Weise gezeigt, wie schnell und gravierend die sichere Nutzung des Internet auf den Kopf gestellt werden kann. Ein Offline-Dasein kann aber nicht die Alternative sein. Dies bedeutet: eine schnell reagierende und kompetente IT-Administration ist „alternativlos“. Dies gilt sowohl bei der Auswahl eines Dienstes bzw. Herstellers wie auch für die hausinterne EDV-Betreuung. Aber auch jeder Privatanwender ist dazu gezwungen, sich den Herausforderungen der Internetnutzung zu stellen.

Schnelle Informationen, nicht nur zum Thema IT-Sicherheit gibt es für jeden Follower unseres Twitter-Streams. Fragen zum Thema auch gerne in den Kommentaren hier im Blog.

 


Teile diesen Artikel

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*