Neuer Heartbleed-Kandidat

© Codenomicon

Digital Life
05/23/2014

Heartbleed in Österreich nur unzureichend behoben

Laut einer aktuellen Studie haben 65 Prozent der betroffenen Webseiten ihr SSL-Zertifikat noch nicht aktualisiert.

Das österreichische COMET-Kompetenzzentrum SBA Research eine Analyse über die Behebung der Heatbleed-Schwachstelle durchgeführt. Dabei ist es für die Administratoren der betroffenen Server nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in der Studie überprüft.

SBA Research kam laut einer Aussendung dabei zum Ergebnis, dass viele der am 9. April betroffenen, aktiven österreichischen Seiten (503 IP-Adressen) die SSL-Zertifikate entweder gar nicht (328 IP-Adressen, etwa 65 %) oder ohne Neugenerierung der kryptografischen Schlüssel (30 IPs, etwa 6 %) aktualisiert haben. Von jenen 35 % also, die das SSL-Zertifikat erneuert haben, hat in etwa jeder fünfte Administrator falsche Maßnahmen getroffen. Das bedeutet, dass zwar ein neues SSL-Zertifikat erstellt wurde, jedoch das alte Schlüsselpaar wiederverwendet wurde.

Insgesamt sind also noch mehr als zwei Drittel der Server von den Auswirkungen von Heartbleed betroffen, obwohl bei vielen davon die betroffene Software aktualisiert wurde, so SBA Research. Falls bei diesen Seiten durch Ausnutzen der Heartbleed-Schwachstelle private Schlüsselinformationen vom Server ausgelesen wurden, kann trotz Erneuern des Zertifikates nach wie vor verschlüsselter SSL-Datenverkehr durch Man-in-the-Middle-Angriffe entschlüsselt und verändert werden.

Vorgehen der Forscher

Als Basis für die Studie wurden jene IP-Adressen/Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet haben und auf die Heartbleed-Schwachstelle anfällig waren (dies waren über 5600 IP-Adressen). Es wurden jene IP-Adressen aussortiert, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Dies erfolgte unter der Annahme, dass Webseiten, die für die öffentliche Benutzung gedacht sind, auch ein offiziell gültiges Zertifikat installiert haben. Dabei blieben am Ende 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

SBA Research führt auch kostenlose Bedrohungsanalysen durch, man kann sie unter heartbleed@sba-research.at anfordern.