Abo
  • Services:
Anzeige
Cloudfare wollte wissen, ob private Keys auslesbar sind.
Cloudfare wollte wissen, ob private Keys auslesbar sind. (Bild: Cloudfare/Screenshot: Golem.de)

Heartbleed: Keys auslesen ist einfacher als gedacht

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.

Anzeige

Der Heartbleed-Bug ist möglicherweise gravierender als gedacht. Zwar konnte vielfach gezeigt werden, dass Server Passwörter, TLS-Session-Cookies und andere kritische Daten preisgaben, aber nur wenigen ist es bisher gelungen, private Schlüssel zu extrahieren. Das gelang nur unter Laborbedingungen direkt nach dem Neustart eines Servers. Doch offenbar ist das Extrahieren der privaten Keys einfacher als angenommen.

Die Firma Cloudflare wollte es genauer wissen. Das Unternehmen setzt selbst viele HTTPS-Server mit der Software Nginx und OpenSSL ein. Nach einer Analyse gingen die Sicherheitsexperten von Cloudflare eigentlich davon aus, dass beim Webserver Nginx das Auslesen der privaten Keys extrem unwahrscheinlich oder sogar ganz unmöglich ist. Um das zu prüfen, hat Cloudflare am Freitag einen Testserver aufgesetzt und die Heartbleed Challenge ausgerufen.

Es hat nicht lange gedauert, bis die ersten Erfolge vermeldet wurden. Der Nodejs-Entwickler Fedor Indutny hat als Erster erfolgreich nachgewiesen, dass er im Besitz des privaten Schlüssels des Testservers ist. Er benötigte dafür 2,5 Millionen Anfragen. Kurz darauf gelang es einem zweiten Tester, Ilkka Mattila vom National Cyber Security Centre Finland (NCSC-FI), den privaten Key des Servers zu extrahieren. Er benötigte dafür nur etwa 100.000 Anfragen an den Server.

Damit ist wohl der Beweis erbracht, dass der Heartbleed-Bug das Extrahieren von privaten Keys ermöglicht. Da es bereits Hinweise gibt, dass Heartbleed von einigen Angreifern schon vor Monaten ausgenutzt worden war, dürfte zumindest bei sicherheitskritischen Services für Webadministratoren kaum ein Weg daran vorbeiführen, ihre Zertifikate zu tauschen. Problematisch ist dabei allerdings, dass die alten Zertifikate selbst dann eine Gefahr darstellen. Zwar kann man Zertifikate von der Zertifizierungsstelle zurückziehen lassen, doch von den heutigen Browsern wird die Gültigkeit der Zertifikate entweder gar nicht oder nur unzureichend getestet. Beide für den Rückruf zur Verfügung stehenden Verfahren - CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) - haben in der Praxis einige Probleme.

Details darüber, wie die beiden Entwickler an den privaten Key gelangten, wurden bislang nicht veröffentlicht. Interessant wäre dabei vor allem, ob sich die Angriffe auch auf andere Webserver übertragen lassen und ob insbesondere auch der Marktführer Apache verwundbar ist. Welche Daten ein Heartbleed-Angriff offenlegt, hängt vor allem davon ab, wie Betriebssystem und Serversoftware diese im Speicher ablegen.

Dan Kaminsky schreibt in seinem Blog, dass er davon ausgehe, dass innerhalb der nächste Wochen Software auftauchen werde, die auf einfache Weise das Extrahieren privater Keys von Servern mit der Heartbleed-Lücke ermöglichen werde.


eye home zur Startseite
jayrworthington 15. Apr 2014

Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen...

bernd71 14. Apr 2014

Closed source muss ja nicht heißen das sich niemand den Code angesehen hat. Man kann ja...

lottikarotti 14. Apr 2014

Lass es dir schmecken..

widdermann 13. Apr 2014

Es zwingt dich ja niemand Firefox und eBay zu benutzen, zumal beides eh USA-Produkte sind...

Ext3h 13. Apr 2014

Postgeheimnis? In der Regel einfach durch das Öffnen des Briefes und anschließendes...



Anzeige

Stellenmarkt
  1. Home Shopping Europe GmbH, Ismaning Raum München
  2. operational services GmbH & Co. KG, Frankfurt, Berlin
  3. MEIERHOFER AG, München, St. Valentin (Österreich)
  4. Technische Informationsbibliothek (TIB), Hannover


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 349,00€
  3. 399,00€ (Lieferung am 10. November)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Postauto

    Autonomer Bus baut in der Schweiz einen Unfall

  2. Neues iPhone

    US-Late-Night-Komiker witzeln über Apple

  3. Festnetz

    Weiterhin kein Internet ohne Telefonie bei der Telekom

  4. Zertifikate

    Mozilla will Startcom und Wosign das Vertrauen entziehen

  5. Kreditkartenmissbrauch

    Trumps Hotelkette mit Malware infiziert

  6. Open Location Platform

    Here lässt Autos miteinander sprechen

  7. Facebook

    100.000 Hassinhalte in einem Monat gelöscht

  8. TV-Kabelnetz

    Unitymedia arbeitet intensiv an verbesserten Ping-Zeiten

  9. DDoS

    Das Internet of Things gefährdet das freie Netz

  10. Hilfe von Google

    Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App

Starship Technologies: Es wird immer nach Diebstahl und Vandalismus gefragt
Starship Technologies
Es wird immer nach Diebstahl und Vandalismus gefragt
  1. Recore Mein Buddy, der Roboter
  2. Weltraumforschung DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  3. Softrobotik Oktopus-Roboter wird mit Gas angetrieben

  1. es gibt auch gsm Telefonie die wie Festnetz dann sind

    NaruHina | 06:59

  2. Re: Bewohner umsiedeln aber Touristen anlocken - wat?

    Wurzelgnom | 06:35

  3. Re: Vodafone Kabel Deutschland

    robinx999 | 06:32

  4. Re: 100k - wie süß

    Sharra | 06:26

  5. Re: 132 Euro im Monat, nie im Leben!

    gadthrawn | 06:24


  1. 07:17

  2. 19:12

  3. 18:52

  4. 18:34

  5. 18:17

  6. 17:51

  7. 17:25

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel