Skip to main content

Heartbleed

Was bedeutet Heartbleed?

Als Heartbleed bezeichnet man Bugs aus einer veralteten Version von OpenSSL. Dieser Bug erlaubt es potenziellen Angreifern den Transfer von Daten von Client und Server abzugreifen und zu lesen, selbst wenn es sich um TLS verschlüsselten Datenverkehr handelt. Als der Heartbleed Bug im April des Jahres 2014 öffentlich bekannt gemacht wurde, waren Millionen von Internetseiten davon betroffen, die durch diesen Fehler angreifbar waren. Die Betreiber all dieser Webseiten mussten schnell Maßnahmen ergreifen, um den Fehler zu beheben und ihre Daten wieder zu schützen.

Hintergrundinformationen

Immer dann, wenn eine Webseite von einem Nutzer aufgerufen wird, werden Daten von einem Server zu dem jeweiligen Nutzer hin übertragen. Meist geschieht dies über den jeweiligen Webbrowser, der eine Verbindung zum Server herstellt. Um zu verhindern, dass andere diesen Datentransfer mitlesen können, geschieht die Übertragung der Daten in der Regel auf verschlüsselte Weise. Es gibt viele verschiedene Arten von Verschlüsselungsmechanismen. Je nach Sensibilität der Daten werden schwächere oder stärkere Verschlüsselungen gewählt. Online-Banking oder Online-Shops wählen für ihre Transaktionen, bei denen Bank- oder Kreditkartendaten im Spiel sind meist einen SSL-Mechanismus zum Verschlüsseln. Dies kann man als Nutzer daran erkennen, dass oben in der Adressleiste ein kleines Schloss-Symbol erscheint und dass die URL der Webseite mit einem HTTPS statt mit einem einfachen http beginnt.

Die Verbindung wird in der Regel durch den Server oder durch eine spezielle Software auf dem Router verschlüsselt. Zu den am häufigsten verwendeten Verschlüsselungsprogrammen gehört OpenSSL. Und genau diese viel verwendete Software war vom Heartbleed Bug betroffen. Der Name des Bugs leitete sich ab von der Stelle, an der er ansetzte, nämlich dem sogenannten Heartbeat der Software. Wahrscheinlich bestand der Heartbleed Bug bereits seit dem Jahr 2012. Die Entwickler der Software teilten mit, dass es sich dabei um einen Programmierungsfehler handelte, was aber in der Fachwelt angezweifelt wurde. OpenSSL galt bis 2014 als eine besonders sichere Software zur Verschlüsselung. Es handelt sich um eine Open-Source-Software, die von Entwicklern aus der ganzen Welt entworfen und betreut wurde und man daher davon ausging, dass durch diese weltweite Zusammenarbeit von erfahrenen Entwicklern alle Sicherheitslücken schnell entdeckt und ausgemerzt wurden.

Wie sah die Sicherheitslücke aus?

Der Heartbeat ist ein fester Bestandteil der OpenSSL Software. Über den Heartbeat verläuft der Austausch von Statusinformationen zwischen Nutzer und Server. Der Aktivitätslevel wird an den jeweils anderen übermittelt. Dies geschieht über eine Payload, die von einem an den anderen Kommunikationspartner übermittelt wird. Vom jeweils anderen wird der Inhalt dieses Payload exakt wiedergegeben, um zu prüfen, ob die Verbindung noch standhält. Bei dieser Aktion prüft das Programm aber nicht gleichzeitig den Speicherzugriff. Der Übermittler der Payload merkt in diesem Moment nur, dass die Payload zurückkommt, nicht, wie lange die Datenübertragung ist.

Und genau darin bestand das Problem. Hier setzte Heartbleed an und schrieb beliebige Werte in diese Payload hinein, die dann unbemerkt übermittelt werden konnten. Bei jeder einzelnen Übertragung konnte ein Angriff ausgeführt werden, der jeweils 64 Kilobyte ausspionieren konnte. Zunächst wirkt das wie eine winzige Datenmenge, aber sie reicht auf jeden Fall aus, um Passwörter oder Usernamen auszuspähen oder auch Serverzertifikate zu kopieren. Zudem kann der Angriff beliebig oft ausgeführt werden, solange die Verbindung besteht. Es lassen sich also mit der Zeit riesige Datenmengen stehlen. Erschwerend kommt noch hinzu, dass der Server das Abgreifen der Daten nicht bemerkt oder protokolliert. Der Angreifer kann also unerkannt bleiben.

Welche Systeme waren betroffen?

Es waren vornehmlich Systeme und Geräte betroffen, die eine SSL-Verschlüsselung benutzten. Diese waren unter anderem Webmaster, Online-Shops, private Internetnutzer, Smart-TV, Smartphones, die bestimmte Internetseiten besuchten und Router, die sich mit dem Internet verbanden.

Folgen des Heartbleed Bugs

Der Heartbleed Bug hatte und hat vermutlich immer noch einige unabsehbare Folgen. Es ist eigentlich nicht möglich, zu bestimmen, wie viele Angriffe über ihn erfolgt sind, wo und von wem sie begangen wurden und wie viele Daten dabei abgegriffen wurden. Zudem muss vermutet werden, dass die amerikanische Behörde NSA den Bug dazu genutzt hat, sensible Daten auszuspähen und zu sammeln. Große Unternehmen wie Google, Microsoft und Facebook haben daher gemeinsam die Core Infrastructure Initiative gegründet, um die OpenSSL-Software zu unterstützen und in Zukunft ähnliche Bugs, wie den Heartbleed Bug zu vermeiden, beziehungsweise eben schneller auf erkannte Sicherheitslücken und –risiken reagieren zu können.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG