Verschlüsselte Verbindungen im Netz nicht mehr sicher
Die fehlerhafte Version einer Programmbibliothek ist anscheindend schon seit zwei Jahren im Einsatz und erlaubt es Mittelmännern, sich in mit OpenSSL verschlüsselt Verbindungen einzuklinken oder sich als verschlüsselter Webserver auszugeben. Die von Datenschutz-Experten oft empfohlenen "https"-Verbindungen dürfen damit wohl ebenfalls nicht länger als sicher gelten, da sie ebenfalls meist auf OpenSSL setzen. Die Entdecker haben dem Fehler den Namen "Heartbleed Bug" gegeben, wie arstechnica berichtet. Die betroffene OpenSSL-Version ist ein Standard-Bestandteil der Apache-Server, auf denen laut Netcraft rund 66 Prozent der Webseiten laufen. Betroffen sind neben Webservern aber auch Mail-, VPN- und andere DIenste, die auf die Verschlüsselung setzen.
Die Suche nach Fehlern in OpenSSL hat begonnen, nachdem bekanntgeworden ist, dass die NSA versucht, die Verschlüsselung zu unterwandern. Ob es sich bei der aktuellen Lücke um eine bewußt platzierte Hintertür handelt, ist derzeit unklar, da noch nicht festgestellt werden konnte, wer den fehlerhaften Code-Teil eingebracht hat.
Keine sicheren Verbindungen
Über die Sicherheitslücke können sich Angreifer sowohl die verschlüsselten Inhalte als auch den Schlüssel holen. Ob der Fehler bereits ausgenutzt wurde, lässt sich nicht mehr feststellen, da ein entsprechender Angriff keine Spuren in den Log-Dateien der Server hinterlässt.
Das Schad-Potenzial ist jedenfalls enorm, da auch sensible Anwendungen wie Bankverbindungen, soziale Medien oder Mail-Programme auf OpenSSL setzen. Geben sich Angreifer als vertrauenswürdige Seiten aus, können sie sich Zugangsdaten zu den jeweiligen Anwendungen erschleichen. Es gibt zwar bereits ein Update, das die Sicherheitslücke schließt, allerdings wird es durch die enorme Anzahl betroffener Server wohl noch sehr lange dauern, bis die sichere Variante sich überall verbreitet hat. Zudem könnten aktuelle Zertifikate bereits kompromittiert sein, was das Update sinnlos macht.
In einer Aussendung von CERT.at heißt es: "Da davon auszugehen ist, dass Angreifer über die Private Keys von mit verwundbaren OpenSSL-Versionen gesicherten Services verfügen, sind prinzipiell alle über solche Service übermittelten Informationen als kompromittiert zu betrachten. Falls die Services mit "Perfect Forward Secrecy" konfiguriert sind, können Angreifer allerdings nicht Informationen aus in der Vergangenheit mitprotokollierten Sitzungen entschlüsseln. Aktuell übertragene Informationen sind trotzdem betroffen."