Sicherheitslücke "Heartbleed" in aller Munde

Es war schon sowas wie ein Super-GAU, was sich da in den letzten Tagen in Sachen Internet-Verschlüsselung aufgetan hat. Durch einen einfachen Exploit konnte (kann) OpenSSL ausgehebelt werden. Hier ein paar Hintergründe.

Was passiert bei dieser Lücke?

Wird eine sichere Verbindung zwischen einem Server und einem Client aufgebaut, wird diese über den sog. "Heartbeat" aufrecht gehalten. Dabei sendet einer der Kommunikationspartner ein Datenpaket mit beliebigem Inhalt an den zweiten Partner. Dieser sendet dieses Paket mit exakt denselben Daten zurück. Dadurch kann man sichergehen, dass die TLS (Transport Layer Security) gewährleistet ist. Bei der Umsetzung dieser Funktion in OpenSSL gibt (gab) es jetzt aber ein Problem. Der Empfänger dieses Datenpakets überprüft nicht, wie groß das Paket tatsächlich ist. Er glaubt dem Sender einfach. Das funktioniert so: Die Größe des Datenpakets wird im Header vermerkt und kann maximal 64 KByte betragen. Der Sender kann bei dieser Angabe allerdings einfach lügen. In den Header schreibt er die Payload-Größe von 64 KByte, gesendet wird allerdings nur ein einzelnes Byte. Auf der Empfängerseite wird der Information aus dem Header geglaubt. Deshalb reserviert der Empfänger die im Header erwähnten 64 KByte in seinem Arbeitsspeicher. Wird das Datenpaket nun zurückgeschickt, wird dafür prinzipiell mal das eine Byte aus der ursprünglichen Nachricht verwendet - der restliche Platz (also 64 KByte - ein Byte) wird mit dem Inhalt des Arbeitsspeichers gefüllt, der halt gerade als Nächstes im Index kommt. Problem dabei ist nun aber, dass man nie genau wissen kann, welcher Inhalt das ist. Im schlimmsten Fall können das auch Passwörter und andere vertrauliche Informationen sein. Je öfter der angreifende Kommunikationspartner diese Lücke ausnutzt, desto wahrscheinlicher wird es natürlich auch, dass tatsächlich brisante Daten übermittelt werden.

Was kann man tun?

Das Problem wurde bei OpenSSL relativ schnell behoben und ein Update veröffentlicht. Vor allem die großen Website-Betreiber haben dieses auch umgehend auf ihren Servern installiert. Nichtsdestotrotz sollte man allerdings seine Passwörter, die man im Netz verwendet, ändern. Das betrifft sowohl Email-Accounts als auch e-Banking und Social Media-Seiten. Mashable hat eine Übersicht erstellt, welche der "Big Player" betroffen waren. Die Liste ist aber natürlich bei Weitem nicht vollständig. Allein in Österreich waren bis zu 30.000 Websites betroffen!

Server-Test

Falls man selber einen Webserver betreibt oder eine Homepage im Netz hat, kann man durch einen einfachen Online-Test feststellen, ob die eigene Seite betroffen ist. Den Test finden Sie hier.