Am 7. April 2014 wurde eine schwere Sicherheitslücke namens "Heartbleed" bekannt gegeben. Heartbleed ist eine Sicherheitslücke in der OpenSSL 1.0.1-Serie software , die in der NIST-Ankündigung CVE-2014-0160 beschrieben wird. Kurz gesagt, ermöglicht diese Schwachstelle Hackern den Zugriff auf Teile des Speichers eines anfälligen Systems, was zur potenziellen Preisgabe von Passwörtern, sensiblen Daten und privaten Zertifikatsschlüsseln auf den betroffenen Systemen führt. Heartbleed erreicht dies, indem es eine Schwachstelle in der "TLS Heartbeat Extension" ausnutzt, die den Serverspeicher offenlegt. Noch schlimmer ist, dass dieser Heartbeat-Angriff ohne das Wissen des Opfers wiederholt werden kann und der Angreifer bei jeder Wiederholung einen weiteren 64k-Snapshot des Speichers preisgibt. Diese sehr schwerwiegende Sicherheitslücke macht die sensibelsten Daten der betroffenen Systeme zugänglich.
Die gute Nachricht: Für die Sicherheitslücke gibt es einen Patch. Die weite Verbreitung der OpenSSL 1.0.1-Serie software und die Tatsache, dass diese Sicherheitslücke bereits seit zwei Jahren besteht, bedeutet jedoch, dass die von Heartbleed ausgehenden Risiken enorm sind. Aktuelle Schätzungen gehen davon aus, dass über 500.000 Systeme anfällig sein könnten. Konkret betrifft die Heartbleed-Schwachstelle jene Systeme, die OpenSSL 1.0.1 (a-f) verwenden. Da software so weit verbreitet ist, sind leider auch viele gängige Betriebssystemplattformen betroffen und somit anfällig. Ich schlage vor, die CERT-Website zu besuchen, um eine weitere Liste der betroffenen Plattformen zu erhalten. Es ist erwähnenswert, dass es sich hierbei um eine sich entwickelnde Geschichte handelt und sich die Liste der betroffenen Plattformen daher wahrscheinlich noch ändern wird.
Es ist wichtig zu verstehen, dass diese Sicherheitslücke nicht nur auf Webserver beschränkt ist. Angesichts der Popularität von OpenSSL, des heutigen Trends zum "Internet der Dinge" und der Tatsache, dass viele moderne Geräte jetzt mit SSL geschützten Web-Konfigurationsschnittstellen ausgeliefert werden, ist der Umfang der potenziell angreifbaren Geräte immens. Von Netzwerk-Routern bis hin zu industriellen Steuerungssystemen kann alles angreifbar sein.
Die Bestimmung des Ausmaßes der Gefährdung durch diese Schwachstelle kann für ein großes Unternehmen eine nicht triviale Herausforderung darstellen. Zur Ermittlung der Schwachstelle gehört zweifellos eine Überprüfung der betroffenen Unternehmensplattformen und der auf diesen Systemen verwendeten OpenSSL-Versionen. Wenn Sie die neueste Version von OpenSSL verwenden, gibt es darüber hinaus skriptbasierte Methoden, mit denen ein System interaktiv abgefragt werden kann, um seine Schwachstelle zu ermitteln, wie z. B. die folgende Zeile command :
echo -e "quit\n" | openssl s_client -connect 192.168.1.1:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe
Schließlich gibt es Online-Seiten, die bei Angabe eines DNS -Hosts und -Ports auf die Heartbleed-Schwachstelle prüfen können.
Wenn man feststellt, dass die eigene Website oder der eigene Server verwundbar ist, was dann? Was ist die beste Vorgehensweise?
Wenn ein Server als verwundbar eingestuft wird, muss man davon ausgehen, dass alle sensiblen Daten, die sich jemals im Speicher dieses Systems befunden haben, kompromittiert wurden, um völlig sicher zu sein. Es ist wichtig, daran zu denken, dass diese Sicherheitslücke seit über 2 Jahren Teil der OpenSSL-Codebasis ist. Und da diese Schwachstelle nicht zurückverfolgt werden kann, gibt es keine sichere Möglichkeit, das Ausmaß eines Angriffs zu bestimmen, weshalb alle Daten auf den betroffenen Systemen verdächtig sein sollten.
- Alle betroffenen Konten sollten ihre Passwörter zurücksetzen lassen.
- Alle anfälligen Systemzertifikate mit privaten Schlüsseln, die nicht durch ein HSM oder eine kryptografische hardware geschützt sind, sollten widerrufen und durch Zertifikate mit neuen Schlüsseln ersetzt werden.
- Alle sensiblen Daten müssten auf ihre Gefährdung hin überprüft werden.
Es ist auch wichtig zu verstehen, dass es sich nicht um eine Kompromittierung von PKI, SSL, TLS oder X.509-Zertifikaten handelt. Heartbleed ist eher ein Angriff auf die Systeme, die PKI verwenden. Daher unterliegen alle neuen Zertifikate, die für die Neuverschlüsselung anfälliger Systeme erforderlich sind, den ursprünglichen Zertifikatsanforderungen, die für die Erstellung der ursprünglichen Zertifikate verwendet wurden. Dennoch empfiehlt CSS, bei jeder Neuverschlüsselung oder Neuanmeldung von Zertifikaten eine Analyse der Schlüsselgröße, des Hash-Algorithmus und der Verkettungsanforderungen als Teil des gesamten Zertifikatsanmeldungsprozesses durchzuführen.
