OpenSSL: Was Sie zu Heartbleed wissen müssen und wie Sie sich schützen können

Der Heartbleed-Fehler in OpenSSL fordert sowohl Anwender als auch Service-Provider. Die eine Seite muss Zertifikate, die andere Passwörter erneuern.

Der Heartbleed-Fehler in OpenSSL wird nur wenige Tage nach der Entdeckung von einigen Experten als der ultimative Alptraum für das Web deklariert. „Das Worst-Case-Szenario“ ist laut einiger Security-Spezialisten eingetroffen. Security-Experte Bruce Schneier schreibt in seinem Blog: "Katastrophe ist der richtige Ausdruck. Auf einer Skala von Eins bis Zehn ist das eine Elf."

OpenSSL ist eine kryptographische Software-Bibliothek, die SSL/TLS-Funktionalität für Netzwerk-Traffic zur Verfügung stellt. Nicht nur Web-Server wie Apache und Nginx nutzen diese Open-Source-Technologie, sondern auch Instant-Messaging-Programme, VPN-Zugänge (Virtual Private Network) und so weiter.

Heartbleed ist wohl einer der wenigen Bugs, wenn nicht der einzige, dem man eine eigene Website spendiert hat. Der Fehler erlaubt es nach Angaben der Entwickler, den Speicher der Systeme auszulesen, die mit verwundbaren Versionen von OpenSSL ausgestattet sind. Dieser Umstand kompromittiert die privaten Schlüssel, der die Service-Provider identifiziert und die für die Verschlüsselung eingesetzt werden. Auch Anwendernamen und Passwörter, sowie die Inhalte könnten davon betroffen sein.

Kurz gesagt haben Cyberkriminelle die Möglichkeit, den Datenverkehr und andere sensible Daten zu dechiffrieren und hinterlassen dabei keinerlei Spuren.

Angreifer können möglicherweise die Kommunikation zwischen Client und Anwender abhören und Daten direkt von Services und Nutzern abgreifen. Cyberkriminelle haben sogar die Möglichkeit, sich als Anbieter oder Client auszugeben.

Der Fehler hat sich bereits im Jahre 2012 eingeschlichen und betrifft genau genommen die TLS-Heartbeat-Erweiterung in OpenSSL. Es sind die OpenSSL-Versionen 1.0.1 bis 1.0.1f und 1.0.2-beta bis 1.0.2-beta1 betroffen. Wer diese Versionen im Einsatz hat, sollte möglichst rasch auf die reparierte Version 1.0.1g, respektive die bald erscheinende 1.0.2-beta2 aktualisieren. Wem diese Option nicht zur Verfügung steht, kann OpenSSL mit dem Parameter -DOPENSSL_NO_HEARTBEATS neu kompilieren. Damit ist die verwundbare Komponente deaktiviert.

Cyberkriminelle sind bereits aktiv

Kaspersky Labs beobachtet laut eigenen Angaben mit Argus-Augen, wie Cyberkriminelle auf die Heartbleed-Lücke reagieren und daraus Kapital schlagen möchten. Im Web kursieren derzeit Skripte, über die man automatische OpenSSL-bedingte Security-Scans durchführen kann. Das Unternehmen Rapid7 hat ein Tool für die Durchführung eines solchen Scans ausgegeben. Es ist eigentlich für Administratoren gedacht, die Websites und Services damit auf die Sicherheits-Lücke testen können. Eigentlich unnötig zu erwähnen, dass dies auch die böswillige Kräfte anzieht.

Laut Kaspersky stehen bereits einige der abgegriffenen Informationen öffentlich im Netz. Das reale Ausmaß der digitalen Katastrophe lässt sich im Moment nicht abschätzen.

Was Service-Provider und Banken tun

Die großen Linux- und *BSD-Distributoren bieten bereits Aktualisierungen an. Server- und Service-Betreiber sollten umgehend aktualisieren. Nachdem eine ausgebesserte OpenSSL-Version eingespielt ist, sollten Sie neue private Schlüssel erstellen und darauf basierend die SSL-Zertifikate erneuern.

Sobald das erledigt ist, informieren Sie nach Möglichkeit Ihre Anwender, dass sie ihre Passwörter ändern.

Vor einer Aktualisierung können Sie überprüfen, welche OpenSSL-Version Sie im Einsatz haben. Unter Linux würde das zum Beispiel mit diesem Befehl auf der Kommandozeile funktionieren: openssl version.

Diverse Banken haben den Fehler bereits adressiert und entsprechend aktualisiert.

Auch Anwender können sich schützen

Anwender sind insofern betroffen, da sie in irgendeiner Weise Dienste mit OpenSSL benutzen. Dazu gehören Online-Banking, Web-Mail, Cloud-Services und so weiter. Alle verschlüsselten Websites und Services, die OpenSSL einsetzen, sind möglicherweise und wie bereits beschrieben anfällig.

Als Nutzer sind Sie zunächst darauf angewiesen, dass die Service-Provider reagieren. Sobald das geschehen ist, sollten Sie umgehend Ihre Passwörter ändern.

Ob eine Seite weiterhin anfällig ist oder nicht, können Sie unter anderem bei filippo.io und ssllabs.com verifizieren. Sofern eine Seite weiterhin als verwundbar deklariert ist, warten Sie am besten mit dem Ändern des Passworts und überprüfen die betroffene Website in periodischen Abständen. Sie können natürlich Ihr Passwort auch sofort ändern, sollten dies allerdings noch einmal tun, wenn die entsprechende Website das Heartbleed-Problem aus der Welt geschaffen hat.

Die großen Dienste wie Gmail, Yahoo!, Facebook und so weiter haben die Sicherheits-Lücke bereits adressiert. Verwenden Sie einen dieser Dienste, ändern Sie am besten Ihr Passwort umgehend.

Update bei OpenVPN

OpenVPN benutzt ebenfalls OpenSSL, um damit VPN-Verbindungen zu realisieren. Die Entwickler der populären Open-Source-VPN-Software haben ebenfalls ein Update ausgegeben: OpenVPN 2.3.3. Die Software beinhaltet die Fehler-befreite OpenSSL-Version 1.0.1g. Der obige Link führt zur Download-Seite von OpenVPN. Dort finden Sie sowohl den Quell-Code als auch Windows-Installations-Assistenten inklusive des OpenVPN-GUI.

Die Entwickler raten allen Windows-Anwendern von OpenVPN 2.3-rc2-I001 bis OpenVPN 2.3.2-I003 zu einem sofortigen Update.

OpenVPNs kommerzieller Access Server ist ebenfalls von der Sicherheits-Lücke betroffen. Administratoren sollten aus diesem Grund so schnell wie möglich auf Firmware-Version 2.0.6 aktualisieren.

Die Konsequenzen

Diverse Security-Experten fordern, dass man so wichtige und weit verbreitete Software regelmäßig umfangreichen Audits unterziehen sollte. Das ist allerdings beim Umfang eines Kalibers wie OpenSSL nicht gerade einfach. Dafür sind Mittel und Ressourcen notwendig. Die Hoffnung nach dem Heartbleed-Desaster ist nun, dass sich für solche Prozesse Sponsoren finden lassen.

Die Verschlüsselungs-Software TrueCrypt will man zum Beispiel mithilfe von Crowdfunding einem umfangreichen Audit unterziehen. Es sind bereits über 50.000 US-Dollar gesammelt, um das zu ermöglichen.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VPN-Sicherheit und -Konfiguration

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close