News 10.04.2014, 19:19 Uhr

Heartbleed SSL-Lücke: So muss ich reagieren

Die bekannt gewordene Lücke Heartbleed in OpenSSL ist gravierend. PCtipp trägt Fakten zusammen und sagt, wie man richtig reagiert.
Es blutet das Herz! Die Backdoor in OpenSSL ab Version 1.0.1 bis 1.0.1f ist ein wuchtiger Schlag in die Magengrube aller Open-Source-Anhänger. Zwei Jahre blieb die Schwachstelle unentdeckt, immerhin wurde innerhalb Stunden ein Patch veröffentlicht. Die jetzt geschürte Panik hat jedoch nur teilweise Berechtigung, obwohl die Sache ziemlich ernst ist und das Vertrauen in die sichere Internetinfrastruktur weiter gelitten hat.
PCtipp listet im Folgenden die wichtigsten Fakten auf:

Wie kann ich mich schützen?

  1. Überprüfen Sie Ihren Webseitenbetreiber, indem Sie auf http://filippo.io/Heartbleed/ die URL der Webseite eingeben. Kommt dort eine Warnmeldung, ist Vorsicht geboten. Leuchtet die Ampel grün, können Sie zumindest davon ausgehen, dass die Lücke geschlossen ist oder gar nie eine Gefahr bestand. Wegen dem grossen Andrang ist die Webseite teilweise überlastet. Es kann daher zu Fehlermeldungen kommen. Alternativ bietet auch die Seite https://sslcheck.ch/ einen Test an.
  2. SSL-Verschlüsselung erkennen Sie am Schloss in der Adressleiste des Browsers. Klicken Sie auf das Symbol und kontrollieren Sie, ob das Zertifikat nach dem 7. April 2014 herausgegeben wurde.
    Überprüfen Sie das Zertifikat: Ist das Ausgabedatum vor dem 7. April 2014, dann bringt ein Passwortwechsel nichts

  3. Falls die Ampel grün zeigt, aber das Zertifikat nach dem 7. April 2014 herausgegeben wurde, dann ändern Sie sicherheitshalber Ihr Passwort.
  4. Falls die Ampel grün zeigt und das Zertifikat vor dem 7. April herausgegeben wurde, liegt eine potenzielle Unsicherheit vor. Unternehmen Sie vorest nichts. Denn: Entweder hat die Lücke nie bestanden, oder dann müssen Sie abwarten, bis der Betreiber ein neues Zertifikat installiert hat. Wenn Sie ganz sichergehen wollen, sollten Sie in diesem Fall auf besonders sensible Internettransaktionen verzichten und sich direkt beim Webseitenbetreiber bezüglich Heartbleed erkundigen.
  5. Bei Webseiten mit Zwei-Faktor-Authentifizierung (Login am Browser/Passwort via SMS) wie zum Beispiel bei den meisten E-Banking-Lösungen, ist die Gefahr einer Kontoübernahme via Heartbleed nicht gegeben. Voraussetzung ist jedoch, dass man sich ordentlich abmeldet, also den Logout-Button drückt und somit die Session beendet.
  6. Wir empfehlen generell, Passwörter regelmässig zu ändern und nie dasselbe Passwort für sämtliche Internetdienste zu verwenden.
 Auch die Melde- und Analysestelle des Bundes (Melani) hat eine Warnung und weitere Informationen zu Heartbleed auf ihrer Webseite aufgeschaltet.

Was genau ist betroffen?

Die fehlerhafte Software ist die OpenSLL-Bibliothek 1.0.1 bis 1.0.1f und OpenSSL 1.0.2 bis Beta1, die auf Linux-Servern und zum Teil auch in Software auf Clients eingesetzt wird. Es ist ein Implementierungs-Bug, kein Loch im Protokoll. Hauptsächlich betroffen sind Linux-Server, die ihre Verschlüsselungen auf diesen SSL-Versionen einsetzen. Man kann davon ausgehen, dass ein grosser Teil der in den letzten 2 Jahren aufgesetzten Linux-Server betroffen ist. Wie hoch die Quote tatsächlich ist, weiss niemand genau. Quellen sprechen von 17 % der Verschlüsselungen.
Die Lücke wurde am 8. April 2014 entdeckt und veröffentlicht. Somit war ein grosser Teil des gesicherten Datenverkehrs zumindest für ein paar Stunden für jeden fähigen Angreifer potenziell betroffen.
Betroffen sind Webseiten, Apps und Software, die mit Servern kommunizieren und diese Verschlüsselungstechniken verwenden. Dabei dürfen insbesondere Server nicht vergessen werden, die beispielsweise für Smartphone-Apps, Chat-Dienste (z. B. Jabber), Cloud-Speicher, Streaming-Dienste (z. B. Plex), Mail-Dienste (z. B. SMTP, POP, IMAP over SSL), OpenVPN-Zugänge verwendet werden, sofern diese OpenSSL-Bibliotheken nutzen. Ebenso müssen Netzwerkgeräte wie Router und Switches berücksichtigt werden, die entsprechende WebGUIs anbieten. OpenSSL 1.0.1g ist die erste Version, in der die Lücke beseitigt wurde.

Was kann ein Angreifer tun?

Ein Angreifer, der die Schwachstelle ausnutzt, kann unerkannt Daten wie Passwörter, Logins, Cookies etc. in 64 KB grossen Datenstücken (mit dem Ping zwischen Client & Server) aus dem Server oder Client kopieren. Mit massiven Angriffen können so in relativ kurzer Zeit ganze Arbeitsspeicher mit sensiblen Informationen, darunter auch das private Verschlüsselungszertifikat, leergeräumt werden. Fällt das private Verschlüsselungszertifikat in die Hände eine Angreifers, kann die Datenverbindung zwischen Client und Server mitgelesen werden.

Autor(in) Marcel Hauri


Kommentare

Avatar
Luca Diggelmann
11.04.2014
Hallo Gurus, schnalle es überhaupt nicht diesen Heartbleed test machen zu können! Bin ich der einzige Idiot? Hallo uwk Die Seite ist teilweise etwas überlastet. Daher kann es zu Fehlermeldungen kommen. Alternativ gibt es einen Test auch auf dieser Seite: https://sslcheck.ch/ Grüsse, Luca

Avatar
ebas
11.04.2014
Heartbleed Mittlerweile haben alle Partner von «eBanking – aber sicher!» ihre Systeme aktualisiert oder waren nicht verwundbar. Gegenwärtig werden die Server-Zertifikate ausgetauscht. Dieser Prozess sollte in den nächsten ein bis drei Tagen abgeschlossen sein. Wir empfehlen für Ihre Sicherheit: - Alle für Online-Anmeldungen verwendeten Passwörter auswechseln (Bitte beachten Sie dabei auch unsere 6 Regeln für ein sicheres Passwort: www.ebankingabersicher.ch/securepassword). - Vor Verwendung gesicherter Verbindungen auf der Seite http://filippo.io/Heartbleed abzufragen, ob der gewünschte Server (noch) verwundbar ist. - Die Informationen, welche die Finanzinstitute auf ihren Webseiten publizieren, beachten. Auf der Webseite www.ebankingabersicher.ch finden Sie weitere praxisnahe und einfach verständliche Informationen zu notwendigen Massnahmen und Verhaltensregeln, für einen sicheren Umgang im E-Banking. «eBanking – aber sicher!» www.ebankingabersicher.ch / www.ebas.ch

Avatar
uwk
11.04.2014
Heartbeed SSL Lücke Hallo uwk Die Seite ist teilweise etwas überlastet. Daher kann es zu Fehlermeldungen kommen. Alternativ gibt es einen Test auch auf dieser Seite: https://sslcheck.ch/ Grüsse, Luca Hallo Luca, Und es funktioniert! Erhaltene Antwort: Der Server ist nicht von der Heartbleed-Lücke betroffen! Danke

Avatar
patrick
14.04.2014
Das mit dem Zertifikat-Ausstelldatum stimmt so nicht. Ich habe selber einige Zertifikate sowie Keys ausgetauscht, Laufzeit (Ausstelldatum, Ablaufdatum) wurden 1:1 vom alten Zertifikat übernommen, während es jedoch eine neue Seriennummer bzw. Fingerprints gab.