Heartbleed SSL Lücke

heartbleed

Wie mittlerweile breit in den Medien verbreitet wurde, hat eine Sicherheitslücke bei verschlüsselten Verbindungen (die Heartbleed Lücke) ein Grossteil des Internets erfasst – kaum eine nahmhafte Firma oder Branche, die nicht betroffen wäre. Jeder der auf die neusten (und an sich am meisten Sicherheit versprechendsten) Programmbibliotheken für verschlüsselte Verbindungen unter Linux setzte (OpenSSL), war dieser Lücke ausgesetzt – auch Purplemoon.

Entdecken der Lücke & Funktionsweise

Veröffentlicht wurde die Lücke am Dienstagmorgen (8. April), sie wurde ursprünglich von Sicherheitsforschern entdeckt – durch Zufall. Ob diese Lücke davor schon jemandem bekannt war, ist bisher unbekannt – dies wird sich wohl erst mit der Zeit zeigen. Da so viele Dienste betroffen sind, darunter viele, wo man tatsächlich viel Schaden anrichten könnte, kann man zumindest vermuten, dass die Lücke eher nicht bekannt war – der entsprechende Schaden müsste sonst früher oder später auffallen.

Durch die Lücke kann man zufällige Daten, die via verschlüsselter Verbindungen gerade auf dem Server im flüchtigen Speicher vorhanden sind, ausspähen. Durch entsprechend viele Abfragen kann man dadurch z.B. mitkriegen, was für Zugangsdaten bei Anmeldungen gerade verwendet werden, oder die SSL-Zertifikate zur Absicherung der Verbindung könnten ausgespäht werden. Welche dieser Daten man erhält kann man jedoch nicht steuern – man erhält immer nur einen „Ausschnitt“ der gerade anfallenden Daten. Erst in der Menge und mit genügend Zeit kann man dadurch besonders viele kritische Daten sammeln, oder man erwischt zufällig etwas nützliches.

Purplemoon & unser Vorgehen

Auf Purplemoon wurde die Lücke ca. 12 Stunden nach Bekanntwerden geschlossen. Bisher gab es keine Hinweise darauf, dass am 8. April (oder der Zeit davor) Daten im grösseren Stil abgegriffen wurde, doch dies lässt sich nicht ausschliessen – wobei es am wahrscheindlichsten ist, dass diese Lücke wenn schon in den 12 Stunden nach Bekanntwerden genutzt wurde, wenn überhaupt.

Seit Juli 2013 setzen alle Verbindungen PFS (Perfect Forward Security) ein. Dies wirkt sich in diesem Fall besonders günstig aus: Sofern unsere privaten Schlüssel für die Verbindungen jemand mitgeschnitten hätte, könnten damit keine vergangenen Verbindungen entschlüsselt werden. Trotzdem haben wir mittlerweile alle Zertifikate ausgetauscht – lieber auf Nummer sicher gehen.

Auswirkungen & Sicherheitsrisiko

Momentan wird viel darüber spekuliert, was gerade die Nutzer der entsprechenden Dienste tun sollten, und wie gross die „nachfolgende“ Gefahr dieser Lücke ausfallen wird. Wie bereits erwähnt würde ich einschätzen, dass die Lücke vor der Veröffentlichung kaum jemand kannte – denn sonst wäre jemand ein spürbares „Opfer“ geworden. In der heutigen Zeit unsichtbar kriminell zu agieren und es zu schaffen, dass während längerer Zeit niemand etwas mitkriegt, ist eher unwahrscheinlich. Besonders da es so viele lukrative Ziele gab.

Deshalb ist die teilweise vorgebrachte Forderung von Sicherheitsexperten, alle Passwörter zu ändern, wenig praxisorientiert. Wer möchte schon auf jeder einzelnen Seite sein Passwort ändern? Sinnvoll ist es dagegen, besonders bei Seiten mit Schadenspotenzial (Banken, E-Mail-Accounts, sonstige Orte, bei denen man finanziell geschädigt werden kann), zu prüfen ob diese Seiten von diesem Fehler betroffen waren und in diesem Fall sein Passwort zu ändern.

Dies gilt besonders, wenn diese Seiten nach dem 7. April 2014 besucht wurden und Zugangsdaten oder sonst persönliche Informationen angegeben oder abgerufen wurden. In diesem Fall lohnt es sich vermutlich, generell mal ein neues Passwort zu verwenden und evtl. generell die Sicherheit zu erhöhen.

Im Falle von Purplemoon ist es anzuraten, das Passwort zu wechseln, sofern man sich am 8. April mit seinen Logindaten angemeldet hat – davor wurde die Lücke vermutlich nicht ausgenutzt, und ab dem 9. April waren die Server wieder komplett abgesichert. Dies ist aber auch schon die sehr sichere Variante – nicht nur hätte jemand in eher kurzer Zeit Daten abgreifen müssen, es hätten zufällig die eigenen Zugangsdaten davon betroffen sein müssen und jemand mit ausreichend krimineller Energie müsste nun die Absicht haben, etwas damit anzustellen. Die Chancen stehen daher gut, dass auf Purplemoon eher geringe Konsequenzen zu befürchten sind – uns sind soweit auch noch keine entsprechenden Auswirkungen bekannt.

Mehr Informationen und Details

Die offizielle Seite zur Lücke auf Englisch hat einige Informationen zu bieten, und wie der Bug überhaupt funktioniert hat Heise Security gut nachvollziehbar dargestellt.

Veröffentlicht von

Mein Name ist Andreas Leathley und ich bin der Geschäftsführer der Panaxis GmbH, der Firma hinter Purplemoon und Purplestar. Seit der Gründung in 2002 arbeite ich an diesem Projekt und kümmere mich zurzeit um die Programmierung, Technik, Purplemoon-Parties und die Koordinierung aller sonstigen Aktivitäten - von allem etwas. Ich bin 32 Jahre alt und ein Schweizer, der mittlerweile in München sesshaft ist.

3 Kommentare » Schreibe einen Kommentar

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.