Schwachstellen verändern sich im Laufe der Zeit. Nach der ersten Identifizierung neigen Forscher, Unternehmen und Experten dazu, eilig Meinungen abzugeben, die manchmal sachlich und manchmal weniger sachlich sind.
Die Enthüllungen über Heartbleed bilden da keine Ausnahme. Eine der interessantesten Entdeckungen kam jedoch in den letzten Tagen.
Anfangs haben viele schnell geleugnet, dass private Schlüssel durch den OpenSSL-Bug offengelegt werden könnten. Es hat sich herausgestellt, dass dies nicht stimmt. Private Schlüssel sind angreifbar.
Cloudflare, das ursprünglich erklärt hatte, dass private Schlüssel nicht offengelegt werden können, bot eine Herausforderung für jeden an, der das Gegenteil beweisen wollte. Ergebnisse ... zwei Personen waren in der Lage, ausreichende Informationen zu erhalten, um die Signatur der privaten Schlüssel zu reproduzieren, die auf dem Herausforderungsserver verwendet wurden.
Was bedeutet das also? Kurz gesagt, die Sicherheit des Internets und der Unternehmensnetzwerke ist gerade ein wenig beängstigender geworden. Nehmen wir uns einen Moment Zeit, um aufzuschlüsseln, was wir jetzt wissen.
Die schlechte Nachricht ist, dass Produkte und Server, die OpenSSL 1.0.1a bis 1.0.1f (einschließlich) verwenden, anfällig sind und Gefahr laufen, kompromittiert zu werden. Infolge dieser Schwachstelle könnten Informationen, die sonst als vertraulich gelten, tatsächlich preisgegeben worden sein. Der Fehler, der zu dieser Sicherheitslücke führt, existiert seit etwa 2 Jahren, was bedeutet, dass eine Menge Informationen erfasst worden sein könnten.
Das Schlimmste daran ist, dass die privaten Schlüssel der SSL -Zertifikate, die zur Verschlüsselung aller Daten verwendet werden, die zu und von diesen Servern übertragen werden, im Handumdrehen entschlüsselt werden können, wenn jemand die privaten Schlüssel zu diesen Servern besitzt.
Und wenn Sie dachten, das sei eine wirklich schlechte Nachricht... es stellte sich heraus, dass viele Produkte die fraglichen OpenSSL-Bibliotheken in ihre Produkte eingebettet haben. Dazu gehören Produkte von großen Anbietern wie Cisco, Juniper und einige Versionen von Android, um nur einige zu nennen.
Während Netzwerkadministratoren sich bemühen, Patches für Webserver zu erhalten, stellt sich heraus, dass diese nur die Spitze des Eisbergs für diese Sicherheitslücke sein könnten.
Für viele stellt sich daher die Frage: "Was wurde kompromittiert?" Wir müssen in einem Ausmaß denken, das wir vorher nie in Betracht gezogen haben. Die Realität ist, dass viele Dinge kompromittiert worden sein können. Man kann sogar davon ausgehen, dass alle Daten, die über einen der betroffenen Endpunkte (Webserver, Router, Switches usw.) übertragen werden, gefährdet sind. Es ist in etwa so, als würde man in einem Haus mit Hunderten von Türen leben und nur ein paar Schlüssel haben, mit denen man jede Tür öffnen kann. Jetzt hat jemand anderes eine Kopie dieses Schlüssels und kann kommen und gehen, wie er will. Sie werden nie wissen, ob sie schon einmal da waren oder nicht.
Die einzige Möglichkeit, das Problem zu beheben, besteht darin, die Schlösser auszutauschen und neue Schlüssel zu besorgen. Die eigentliche Betonung liegt auf "neue Schlüssel". Der Austausch privater Schlüssel ist der einzige Weg, um vollständig vor Heartbleed geschützt zu sein.
Ohne die privaten Schlüssel auf den betroffenen Geräten zu ändern, ist es so, als würde man einen Schlosser anrufen, um die Schlösser auszutauschen (den Patch anzuwenden), aber die Schlösser so konfigurieren lassen, dass sie denselben Schlüssel (SSL Zertifikat) verwenden, den man zuvor verwendet hat. Kurz gesagt, es ist ungefähr so effektiv wie das Auswechseln der Scharniere und des Türgriffs und das Streichen der Tür in der Hoffnung, dass der Dieb denkt, weil die Tür anders aussieht, habe er das falsche Haus.
Es ist also an der Zeit, alle Zertifikate, die sich auf betroffenen Produkten und Geräten befinden, neu auszustellen. Wahrscheinlich kennen die meisten Unternehmen nicht alle betroffenen Endgeräte und müssen viel Zeit und Mühe aufwenden, um SSL Server zu finden und zu patchen. Die meisten haben interne Router, Switches und andere Geräte außer Acht gelassen. Selbst wenn der Patch aufgespielt wurde und die Zertifikate nicht aktualisiert wurden, können diese Geräte immer noch anfällig sein.
Eine gute Sache, die aus dieser Heartbleed-Erfahrung resultiert, ist, dass Unternehmen nun verstehen sollten, welche wichtige Rolle Zertifikate in einem Unternehmen spielen. Auch wenn nichts den Schmerz beseitigen kann, der mit der Identifizierung, dem Patchen und der Neuausstellung von Zertifikaten verbunden ist, die als Folge von Heartbleed erforderlich sind, sollte nun klar sein, wie wichtig es ist, den Lebenszyklus von Zertifikaten in einem Unternehmen zu kennen und verwalten zu können. Die Bereitstellung von Tools zur schnellen Identifizierung und Behebung von "gefährdeten" Zertifikaten sollte als Teil einer umfassenden Sicherheitsstrategie und eines Tools nicht außer Acht gelassen werden.
