Informationen zum OpenSSL Heartbleed Bug

Ein schwerwiegender Fehler in der OpenSource Bibliothek OpenSSL gefährdet die Sicherheit vieler weltweiter Systeme und kann dem Angreifer Zugriff auf Systemdaten, inklusive der privaten Schlüssel von SSL Zertifikaten erlauben.

Wer ist betroffen?

OpenSSL wird als Bibliothek auf vielen Systemen weltweit eingesetzt und ist die Standardimplementation bei Webservern wie Apache und nginx, welche laut Netcraft-Report auf aktuell knapp 70% der weltweiten Systeme eingesetzt werden. Allerdings sind nicht nur Webserver betroffen, sonder auch VPN Verbindungen, Instant Messaging oder E-Mail Server. Betroffen sind die Versionen 1.0.1 bis 1.0.1f von OpenSSL. Ältere Versionen, sowie die weitverbreitete Version 0.9.8 sind nicht betroffen.

Was bedeutet der Bug?

Der Heartbleed Bug zielt auf den Heartbeat ab, welcher sicherstellt, dass die verschlüsselte Verbindung noch aktiv ist. Zu diesem Zwecke werden Statusinformationen ausgetauscht, die bidirektional überprüfen ob der entsprechende Kommunikationspartner noch Teil der Verbindung ist. Über diesen Heartbeat können aufgrund des Bugs allerdings Systemdaten ausgelesen werden, mit einer maximalen Größe von bis zu 64kb pro Verbindung. Man konnte auf diese Weise an Benutzernamen, Passwörter, sowie private Schlüssel (ist der private Schlüssel eines Zertifikates bekannt, kann die Verbindung entschlüsselt werden) oder Inhalte aus der verschlüsselten Kommunikation allgemein gelangen.

Die Angriffe konnten aufgrund des Bugs ohne zusätzliche Rechte durchgeführt werden und sind als höchst kritisch einzustufen, da ein kompromittierter privater Schlüssel die Verschlüsselung faktisch nutzlos macht. Ist man in Besitz des privaten Schlüssels, kann man sich als Zielserver ausgeben und mit einem eigenen Server im Kommunikationsweg selbst die Daten abfangen und entschlüsseln.

Ist der Heartbleed Bug nur ein Problem für SSL und Zertifikate?

Der Bug betrifft nicht nur Zertifikate, diese sind zwar betroffen, weil sie kompromittiert werden können, die wirkliche Problematik liegt aber beim Abfluss von System- und Benutzerdaten. Ist ein System vom Bug betroffen können Benutzer und Passwortkombinationen recht einfach ausgelesen werden. Ist also ein Dienst, den man nutzt, Opfer des Bugs, besteht die Möglichkeit, dass die eigenen Benutzerdaten einem Angreifer bekannt geworden sind. Ein umgehender Passwortwechsel ist daher angeraten! Betrachten wir in diesem Zusammenhang die Anzahl der potenziell betroffenen Systeme, so liegen wir in einem hohen Millionenbereich. Verrechnet man diese Anzahl mit Benutzern die für unterschiedliche Dienste die gleiche Benutzer/Passwort-Kombination nutzen, so dürfte sich die Zahl vervielfachen!

Was sollte man als Betroffener tun?

Patchen Sie ihr System! OpenSSL steht seit dem 8. Januar in Version 1.0.1g zur Verfügung und ist in den meisten Systemen über die Paketverwaltung der Distribution bereits verfügbar. Erst nachdem das System auf dem aktuellen Stand ist, sollte ein neuer privater Schlüssel erstellt und das Zertifikat ausgetauscht werden! Ein Austausch empfiehlt sich dringend, da nicht nachweisbar ist ob der eigene Schlüssel bereits ausgelesen wurde, denn die Ausnutzung des Bugs hinterlässt keinerlei Spuren auf dem System.

Wir empfehlen daher allen bisherigen Nutzern einer OpenSSL Version zwischen 1.0.1 und 1.0.1f dringend zur Erstellung neuer Schlüssel und dem damit einhergehenden Austausch der Zertifikate!

Noch wichtiger ist die Änderung aller Passwörter bei genutzen Diensten, angefangen bei den kritischen wie primäres Mailkonto und allen Diensten, auf denen Geldbeträge abfließen können (Amazon, eBay, PayPal uws.). Sofern verfügbar sollte man eine Zwei-Faktor-Authentifizierung beim genutzten Dienst aktivieren (Google, Microsoft, PayPal und viele mehr bieten es bereits lange Zeit an). Nutzen Sie unterschiedliche Passwörter für unterschiedliche Dienste, es ist besser sich diese zu notieren, als aus Bequemlichkeit das gleiche Passwort bei 20 Diensten zu nutzen, denn ist eines befallen, öffnet dies Tür und Tor zu den anderen!

Wo kann ich weitergehende Informationen zum Heartbleed Bug erhalten?

• Heartbleed.com (stellt alle Infos zum Bug in englischer Sprache zusammen)
• Security Advisory auf OpenSSL.org
• Heartbleed Test (Überprüfen Sie ob ihr System betroffen ist)