Heartbleed

Mit Heartbleed wird ein Bug in einer älteren Version von OpenSSL bezeichnet. Der Hearbleed Bug ermöglicht es, Angreifern den Datenverkehr zwischen Clients und Servern mitzulesen, auch wenn die Verbindung via TLS verschlüsselt ist. Als Heartbleed öffentlich wurde, betraf der Fehler Millionen von Websites weltweit, die durch den Fehler angreifbar waren. Der Heartbleed Bug wurde im April 2014 entdeckt.

Hintergrund

Beim Aufruf einer Website ruft ein Client, z.B. ein Webbrowser Daten von einem Server ab. Damit Unbefugte keinen Zugriff auf diese Verbindung haben, wird diese in der Regel verschlüsselt. Vor allem sensible Anwendungen wie Online-Banking oder der Warenkorb beim Online-Shopping nutzen hierfür eine Verschlüsselung wie z.B. SSL. Im Browser wird dies durch ein kleines Schloss in der Adressleiste grafisch dargestellt. Die Webadresse beginnt dann mit HTTPS.

Heartbleed-01.png

Die Verschlüsselung der Verbindung übernimmt eine serverseitige oder auf einem Router installierte Software. Eines der am häufigsten verwendeten Programme für diese Verschlüsselung ist OpenSSL. Der Hearbleed Bug betraf genau diese Software. Der Name des Bugs leitet sich aus der betroffenen Stelle der Software ab, die Heartbeat genannt wird.

Es wird davon ausgegangen, dass der Hearbleed Bug bereits seit 2012 besteht. Der Entwickler, der diese Lücke programmiert haben soll, spricht selbst von einem „Versehen“[1] Eigentlich galt OpenSSL als sehr sicher, weil die Open-Source-Software von vielen Entwicklern weltweit betreut wurde und man allgemein davon ausgehen konnte, dass Sicherheitslücken auf diese Weise besonders schnell entdeckt werden können.

Beschreibung der Sicherheitslücke

Ein Bestandteil der OpenSSL-Software ist der sogenannte „Heartbeat“. Darüber tauschen Client und Server vor allem Statusinformationen über das Aktivitätslevel der jeweils anderen Station aus. Dabei sendet ein Kommunikationspartner eine sogenannte Payload an den anderen Partner. Dieser gibt den gesendeten Inhalt exakt wieder, um zu zeigen, dass die Verbindung noch besteht. Während dieser Verbindung versäumt das Programm, einen Speicherzugriff zu überprüfen. Demnach registriert der Sender der Payload nur die Tatsache, dass diese zurückkommt, nicht aber die Länge dieser Daten.

Der Heartbleed-Exploit setzt gerade hier an und schreibt beliebige Werte in diesen Datensatz. Dieser Fehler ermöglicht es Angreifern, pro Angriffsversuch 64 Kilobyte der Gegenstelle auszuspähen. Diese Datenmenge erscheint auf den ersten Blick gering. Sie reicht jedoch aus, um Passwörter oder Logindaten sowie Serverzertifikate zu stehlen. Da dieser Vorgang beliebig oft wiederholt werden kann, lässt sich die gestohlene Datenmenge extrem steigern. Besonders schlimm daran ist, dass der Server diesen Zugriff nicht protokolliert und der Angreifer folglich nicht identifiziert werden kann.

< ref > Um in Zukunft Sicherheitsrisiken wie durch den Heartbleed Bug zu vermeiden und schneller darauf reagieren zu können, haben die großen Webunternehmen wie <a class="internal bs-internal-link" title="Google" href="Google" data-bs-type="internal_link" data-bs-wikitext="Google">Google]], Facebook und Microsoft die „Core Infrastructure Initiative“ gegründet, um die OpenSSL-Software zu unterstützen.

Einzelnachweise

  1. OpenSSL-Lücke: Entwickler spricht von einem Versehen secure-one.de Abgerufen am 05.05.2014

Weblinks