Heartbleed

heartbleed

Copyright ┬ę Shutterstock / SunnySideUp

Was bedeutet Heartbleed?

Als Heartbleed bezeichnet man Bugs aus einer veralteten Version von OpenSSL. Dieser Bug erlaubt es potenziellen Angreifern den Transfer von Daten von Client und Server abzugreifen und zu lesen, selbst wenn es sich um TLS verschl├╝sselten Datenverkehr handelt. Als der Heartbleed Bug im April des Jahres 2014 ├Âffentlich bekannt gemacht wurde, waren Millionen von Internetseiten davon betroffen, die durch diesen Fehler angreifbar waren. Die Betreiber all dieser Webseiten mussten schnell Ma├čnahmen ergreifen, um den Fehler zu beheben und ihre Daten wieder zu sch├╝tzen.

Hintergrundinformationen

Immer dann, wenn eine Webseite von einem Nutzer aufgerufen wird, werden Daten von einem Server zu dem jeweiligen Nutzer hin ├╝bertragen. Meist geschieht dies ├╝ber den jeweiligen Webbrowser, der eine Verbindung zum Server herstellt. Um zu verhindern, dass andere diesen Datentransfer mitlesen k├Ânnen, geschieht die ├ťbertragung der Daten in der Regel auf verschl├╝sselte Weise. Es gibt viele verschiedene Arten von Verschl├╝sselungsmechanismen. Je nach Sensibilit├Ąt der Daten┬áwerden schw├Ąchere oder st├Ąrkere Verschl├╝sselungen gew├Ąhlt. Online-Banking oder Online-Shops w├Ąhlen f├╝r ihre Transaktionen, bei denen Bank- oder Kreditkartendaten im Spiel sind meist einen SSL-Mechanismus zum Verschl├╝sseln. Dies kann man als Nutzer daran erkennen, dass oben in der Adressleiste ein kleines Schloss-Symbol erscheint und dass die URL der Webseite mit einem HTTPS statt mit einem einfachen http beginnt.

Die Verbindung wird in der Regel durch den Server oder durch eine spezielle Software auf dem Router verschl├╝sselt. Zu den am h├Ąufigsten verwendeten Verschl├╝sselungsprogrammen geh├Ârt OpenSSL. Und genau diese viel verwendete Software war vom Heartbleed Bug betroffen. Der Name des Bugs leitete sich ab von der Stelle, an der er ansetzte, n├Ąmlich dem sogenannten Heartbeat der Software. Wahrscheinlich bestand der Heartbleed Bug bereits seit dem Jahr 2012. Die Entwickler der Software teilten mit, dass es sich dabei um einen Programmierungsfehler handelte, was aber in der Fachwelt angezweifelt wurde. OpenSSL galt bis 2014 als eine besonders sichere Software zur Verschl├╝sselung. Es handelt sich um eine Open-Source-Software, die von Entwicklern aus der ganzen Welt entworfen und betreut wurde und man daher davon ausging, dass durch diese weltweite Zusammenarbeit von erfahrenen Entwicklern alle Sicherheitsl├╝cken schnell entdeckt und ausgemerzt wurden.

Tipp

Wenn Sie noch Fragen bez├╝glich Open Source haben, dann k├Ânnen Sie gerne den jeweiligen Glossar dazu besuchen und sich ├╝ber das Thema informieren.

Wie sah die Sicherheitsl├╝cke aus?

Der Heartbeat ist ein fester Bestandteil der OpenSSL Software. ├ťber den Heartbeat verl├Ąuft der Austausch von Statusinformationen zwischen Nutzer und Server. Der Aktivit├Ątslevel wird an den jeweils anderen ├╝bermittelt. Dies geschieht ├╝ber eine Payload, die von einem an den anderen Kommunikationspartner ├╝bermittelt wird. Vom jeweils anderen wird der Inhalt dieses Payload exakt wiedergegeben, um zu pr├╝fen, ob die Verbindung noch standh├Ąlt. Bei dieser Aktion pr├╝ft das Programm aber nicht gleichzeitig den Speicherzugriff. Der ├ťbermittler der Payload merkt in diesem Moment nur, dass die Payload zur├╝ckkommt, nicht, wie lange die Daten├╝bertragung ist.

Und genau darin bestand das Problem. Hier setzte Heartbleed an und schrieb beliebige Werte in diese Payload hinein, die dann unbemerkt ├╝bermittelt werden konnten. Bei jeder einzelnen ├ťbertragung konnte ein Angriff ausgef├╝hrt werden, der jeweils 64 Kilobyte ausspionieren konnte. Zun├Ąchst wirkt das wie eine winzige Datenmenge, aber sie reicht auf jeden Fall aus, um Passw├Ârter oder Usernamen auszusp├Ąhen oder auch Serverzertifikate zu kopieren. Zudem kann der Angriff beliebig oft ausgef├╝hrt werden, solange die Verbindung besteht. Es lassen sich also mit der Zeit riesige Datenmengen stehlen. Erschwerend kommt noch hinzu, dass der Server das Abgreifen der Daten nicht bemerkt oder protokolliert. Der Angreifer kann also unerkannt bleiben.

Welche Systeme waren betroffen?

Es waren vornehmlich Systeme und Ger├Ąte betroffen, die eine SSL-Verschl├╝sselung benutzten. Diese waren unter anderem Webmaster, Online-Shops, private Internetnutzer, Smart-TV, Smartphones, die bestimmte Internetseiten besuchten und Router, die sich mit dem Internet verbanden.

Folgen des Heartbleed Bugs

Der Heartbleed Bug hatte und hat vermutlich immer noch einige unabsehbare Folgen. Es ist eigentlich nicht m├Âglich, zu bestimmen, wie viele Angriffe ├╝ber ihn erfolgt sind, wo und von wem sie begangen wurden und wie viele Daten dabei abgegriffen wurden. Zudem muss vermutet werden, dass die amerikanische Beh├Ârde NSA den Bug dazu genutzt hat, sensible Daten auszusp├Ąhen und zu sammeln. Gro├če Unternehmen wie Google, Microsoft und Facebook haben daher gemeinsam die Core Infrastructure Initiative gegr├╝ndet, um die OpenSSL-Software zu unterst├╝tzen und in Zukunft ├Ąhnliche Bugs, wie den Heartbleed Bug zu vermeiden, beziehungsweise eben schneller auf erkannte Sicherheitsl├╝cken und –risiken reagieren zu k├Ânnen.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte