Neuer Heartbleed-Kandidat

© Codenomicon

Sicherheitslücke
04/17/2014

“Jeder ist von Heartbleed betroffen”

Mehr als eine Woche nach Bekanntwerden der Heartbleed-Sicherheitslücke sind in Österreich immer noch 2.500 Server ungeschützt. Die Spezialisten von SBA-Research klären auf.

von Markus Keßler

“Die potenzielle Tragweite der Sicherheitslücke ist enorm hoch. Die Schwachstelle ist schon über eine Woche bekannt und es gibt noch immer mehr als 2.500 betroffene Server. In den vergangenen Tagen hatten Angreifer also mehr als genug Zeit, die Schwachstelle auszunutzen. Durch die enorme Verbreitung der betroffenen OpenSSL-Verschlüsselung ist praktisch jeder von Heartbleed betroffen”, erklärt Andreas Tomek von SBA Research gegenüber der futurezone. Erschwerend hinzu kommt, dass die Sicherheitslücke seit mehr als zwei Jahren besteht und erst jetzt bekannt geworden ist. “Theoretisch ist heute jeder, der eine Maus bedienen kann, in der Lage, Heartbleed auszunutzen und Informationen aus mutmaßlich sicheren Kommunikationskanälen im Netz abzusaugen. Das schlimmste Szenario ist, dass sämtliche Online-Daten eines Internetnutzers, von sozialen Medien über Kreditkartendaten bis zu E-Mails, gestohlen werden”, so Tomek.

Heartbleed ermöglicht es Angreifern, sich unbemerkt in gesicherte Verbindungen zwischen Servern und Nutzern einzuhängen oder Daten von Servern unbemerkt abzuschöpfen. Betroffen sind beziehungsweise waren sehr viele Angebote, von sozialen Medien über E-Mail-Services bis hin zu E-Banking-Seiten. Überall dort, wo Nutzer sich anmelden müssen oder eine https-Verbindung aufgebaut wird, ist die Wahrscheinlichkeit hoch, dass OpenSSL zum Einsatz kommt und ein Heartbleed-Angriff möglich ist. “Viele Lücken werden noch lange offen sein, gerade bei kleineren Anbietern. Noch sind aber auch große Firmen aus den österreichischen Top-100 in unserer Bedrohungs-Liste vorhanden. Von tausenden in Österreich noch betroffenen Servern sind viele zwar in der Praxis bedeutungslos, es reicht aber, wenn eine Handvoll das Potenzial für Schäden hat”, erklärt Tomek.

Automatisierter Einbruch

Das bloße Aktualisieren der OpenSSL-Version durch die Administratoren betroffener Server ist zudem nicht ausreichend. Auch eventuell kompromittierte Sicherheitszertifikate müssen getauscht werden, um ein weiteres Absaugen von Daten zu verhindern. Das Problem ist, dass sich Angriffe auf die Heartbleed-Lücke sehr leicht automatisieren lassen. “Wir haben ein Script geschrieben, das die Server automatisch abklopft. Ein tatsächlicher automatisierter Datenklau wäre nur ein wenig aufwendiger”, so Markus Huber, der ebenfalls bei SBA-Research arbeitet.

Wenn Angreifer es schaffen, sich die Log-In-Daten oder andere sensible Informationen eines Nutzers zu erschleichen, versuchen sie meist, ihren Zugang auszuweiten und schaffen es auch oft, sich mit den Daten Zugriff zu anderen Accounts der betroffenen Nutzer oder zu deren Rechnern zu verschaffen. Neben Zugangsdaten sind auch persönliche Informationen, Bank-Verbindungsdaten und Kreditkartendaten interessant für potenzielle Online-Diebe. “Große Banken haben professionelle IT-Sicherheitsabteilungen, die in diesem Fall aber teilweise machtlos waren, weil die Lücke so lange unerkannt geblieben ist. Einbrecher, die Heartbleed nutzen, hinterlassen keine forensischen Spuren”, sagt Huber.

Erste Fallbeispiele

Deshalb lässt sich auch nicht feststellen, ob Angreifer sich die Schwachstelle bereits zunutze gemacht haben. Laufende Angriffe können mit dem Wissen um die Lücke jetzt aber entdeckt werden. Das hat auch ein kanadischer Student bemerkt, der verhaftet wurde, weil er versucht haben soll, Sozialversicherungsnummern zu entwenden. Auch Anonymous Austria will zu Demonstrationszwecken Daten von einem betroffenen Server extrahiert haben. Auch staatliche Dienste könnten die OpenSSL-Schwachstelle genutzt haben. “Es gibt Indizien dafür, dass die NSA von der Lücke gewusst hat. Ob es sich gar um eine bewusst platzierte Hintertür handelt, ist im Nachhinein kaum zu eruieren. Die Lücke ist deshalb so schlimm, weil sie die Sicherheit, in der sich Nutzer im Netz gewiegt haben, in ihren Grundfesten erschüttert. Das nette Schloss, das im Browser sichere Verbindungen signalisiert, ist damit vorübergehend wertlos”, so Huber.

Neben sicheren Verbindungen im Netz stellt Heartbleed auch eine Grundannahme der Open-Source-Entwickler in Frage. Eines der Hauptargumente für quelloffene Entwicklung war immer, dass Sicherheitslücken und Hintertüren von den zahlreichen Entwicklern, die den Code begutachten, schnell entdeckt würden. Die betroffene OpenSSL-Bibliothek ist aber jahrelang von unzähligen Firmen, darunter auch namhafte Unternehmen wie Google, für Web-Angebote genutzt worden, anscheinend ohne den Code einer genaueren Prüfung zu unterziehen. “Man sieht, dass auch die Großen nicht geprüft haben. Das ist der Zuschauer-Effekt, jeder verlässt sich darauf, dass der andere prüft. Hier sollten die Firmen Geld in die Hand nehmen, um so etwas in Zukunft zu verhindern. Proprietäre Software ist trotzdem nicht automatisch die bessere Alternative, weil hier noch schwerer geprüft werden kann, ob Hintertüren oder Fehler im Code sind ”, so Tomek.

Weckruf für IT-Experten

Die positive Seite von Heartbleed ist, dass auch andere technische Grundlagen des Internets jetzt genauer geprüft werden. “Das ist ein Weckruf. Die Fundamente des Internets sind alt und nicht auf Sicherheit ausgelegt. Hier gibt es noch einiges zu prüfen und es werden sicher noch weitere Lücken gefunden”, so Huber. Das grundsätzliche Problem, dass perfekte Sicherheitsmaßnahmen nicht existieren, lässt sich aber leider nicht lösen. “Angreifer müssen nur eine Lücke finden, während Verteidiger alles schützen sollen. Das ist immer ein Wettrüsten, was aber nicht heißt, dass man aufgeben soll”, sagt Tomek. Eine mögliche Maßnahme für Web-Dienstleister wäre es, ein zweistufiges Authentifizierungsverfahren einzuführen, wie es Banken und andere Anbieter wie Goolge bereits anbieten. “Das ist aber immer mit Einbußen bei der Bequemlichkeit verbunden”, ergänzt Huber.

Privatanwender haben derzeit nur wenige Möglichkeiten, aktiv etwas gegen die Heartbleed-Lücke zu unternehmen. Im Netz gibt es Listen, die zeigen, welche Angebote die Schwachstelle bereits repariert und ihre Zertifikate gewechselt haben. Hier sollten die Passwörter schnellstmöglich getauscht werden. Grundsätzlich raten Experten zum Verwenden eines Passwortmanagers. “Dem muss man zwar ebenfalls vertrauen, aber zumindest verhindert er die Nutzung schlechter Passwörter”, erklärt Huber. Grundsätzlich sollten User davon ausgehen, dass alles, was am Internet hängt, potenziell unsicher ist. “Jeder muss sich überlegen, welche Implikationen ein Datenverlust haben könnte und im Einzelfall entscheiden, ob er das Risiko eingehen will, Informationen ins Netz zu stellen. Das Hirn sollten User nicht ausschalten”, sagt Tomek.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.