Abo
  • Services:
Anzeige
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde.
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF)

Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

Anzeige

Mehrere Forscher haben die Auswirkungen der im April 2014 bekannt gewordenen Heartbleed-Lücke untersucht. Es gebe keine Hinweise darauf, dass die schwere Sicherheitslücke ausgenutzt worden sei, bevor sie veröffentlicht wurde, heißt es in einer aktuellen Studie. Spätestens 22 Stunden, nachdem Heartbleed bekannt wurde, begannen die ersten Scans nach potenziell verwundbaren Servern. Die Forscher machten dabei 692 Quellen aus, die größtenteils aus Amazons EC2 und von chinesischen autonomen Systemen stammten.

Um herauszufinden, ob es vor der Bekanntgabe der Heartbleed-Lücke Angriffe darüber gab, haben die Forscher zwischen November 2013 und April 2014 aufgezeichnete Datenpakete untersucht. Sie stammen aus Honeypots des Lawrence Berkeley National Laboratory, dem National Energy Research Scientific Computing Center und aus Amazons E2C-Netzwerk. Es gebe in dem aufgezeichneten Datenverkehr keine Hinweise darauf, dass es Angriffe auf Server über die Heartbleed-Lücke gegeben habe. Die Forscher weisen aber darauf hin, dass die Aufzeichnungen nicht den kompletten Zeitraum erfasst hätten.

Erste Angriffe nach 21 Stunden

Bereits 21 Stunden und 29 Minuten nach Bekanntwerden der Lücke habe es aber bereits die ersten nachweisbaren Angriffe gegeben, so die Studie. Etwa 24 bis 55 Prozent der laut Alexa-Webdienst 1 Million populärsten Webseiten seien zunächst verwundbar gewesen. Die Diskrepanz zwischen den Zahlen ruhe daher, dass es sich bei Heartbeat, in dem sich die Heartbleed getaufte Sicherheitslücke befand, um eine Erweiterung für OpenSSL handelt, die zwar vorhanden, aber nicht auf allen Servern tatsächlich aktiviert war.

Zahlreiche Webseiten waren bereits über die Lücke informiert, bevor sie publik gemacht wurde, darunter Facebook, Akamai und Cloudflare. Viele Linux-Distributoren wurden 24 Stunden vor der geplanten Veröffentlichung der Sicherheitslücke über eine geschlossene Vendor-Mailingliste darüber informiert, darunter Red Hat, Suse, Debian, FreeBSD und ALT Linux. Die Mitglieder dieser Liste sind zu Stillschweigen verpflichtet. Einige Distributoren und Hersteller erfuhren aber erst durch die Bekanntgabe von der Sicherheitslücke, darunter Ubuntu, Gentoo, die Entwickler um Chromium sowie die Hardwarehersteller Cisco und Juniper.

Schnell gepatcht

Laut einer, in dem Dokument veröffentlichten, Zeitlinie entdeckte der Google-Mitarbeiter Neel Mehta am 21. März die Lücke. Am gleichen Tag schloss Google die Lücke auf seinen Servern. Zehn Tage später informierte Google Cloudflare. Am darauffolgenden 1. April wurde das OpenSSL-Team von Google informiert.

Inzwischen hatte unabhängig von Google das Unternehmen Codenomicon die Sicherheitslücke entdeckt und das finnische National Cyber Security Centre informiert. Das wiederum informierte das OpenSSL-Team am 7. April. Deren Entwickler hatten bereits einen Patch erstellt und veröffentlichten am gleichen Tag die gepatchte Version 1.0.1g der Verschlüsselungssoftware. Wenig später machten Cloudflare und Codenomicon den Heartbleed-Bug über Twitter bekannt.

Schnelle Angriffe

Etwas mehr als 21 Stunden nach der Veröffentlichung begannen Unbekannte, im Netz nach verwundbaren Servern zu suchen. Da hatten bereits fast alle der nach Alexa 10.000 wichtigsten Webseiten die Lücke geschlossen, falls sie betroffen waren. Von insgesamt 3.687 Webseiten, die HTTPS einsetzten, waren nur 630 noch verwundbar. Allerdings handelte es sich dabei um teils große Webseiten, darunter Yahoo, Imgur, Flickr oder die Suchmaschine DuckDuckGo.

Es waren aber nicht nur die Server der Webseiten betroffen. Es gab auch zahlreiche Geräte, auf denen fehlerhafte Versionen von OpenSSL installiert waren, darunter NAS-Systeme, Firewall- und VPN-Geräte und sogar Drucker diverser Hersteller. Außerdem war die Verwaltungssoftware zahlreicher Anbieter betroffen, darunter IBMs System X Integrated Management Modules, VMwares Server sowie Parallels Konfigurationswerkzeuge Plesk und Confixx. Auch das Tor-Projekt war vom Heartbleed-Bug betroffen. Auch Bitcoin-Clients enthielten die fehlerhafte Version von OpenSSL. In mindestens einem Fall wurden Zugangsdaten der Kunden einer Bitcoin-Börse gestohlen, etwa bei BTCJam. Andere Börsen setzten vorübergehend ihre Transaktionen aus, bis ihre Server am 8. April gepatcht wurden.

Schleppender Zertifikatsaustausch

Die Studie hat auch untersucht, wie schnell die betroffenen Webseitenbetreiber ihre Zertifikate ausgetauscht haben. Angreifer hätten über die Lücke die Schlüssel der Zertifikate auslesen können. Während die Hersteller beim Reparieren der Sicherheitslücke recht schnell waren, dauerte es deutlich länger, bis die ersten Zertifikate ausgetauscht wurden. Innerhalb eines Monats nach der Veröffentlichung der Sicherheitslücke hatten nur etwa 10 Prozent der betroffenen Webseiten ihre Zertifikate ausgetauscht, während etwa 79 Prozent die Lücke selbst bereits geschlossen hatten. Zudem hatten von den 10 Prozent wiederum nur 19 Prozent ihre alten Schlüssel zurückgezogen. Noch gravierender, so die Studie, sei jedoch, dass 14 Prozent die alten Schlüssel auch weiterhin noch benutzten.


eye home zur Startseite
tibrob 15. Sep 2014

Mit Gesetzen alleine lässt sich keine Sicherheitslücke ausnutzen.



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Bonn, Berlin
  2. ARI Fleet Germany GmbH, Koblenz, Stuttgart, Eschborn bei Frankfurt am Main
  3. Fresenius Medical Care GmbH, Bad Homburg
  4. Computacenter AG & Co. oHG, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. bei Alternate
  2. bei Caseking

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Journalismus bedeutet heute

    DY | 07:32

  2. Re: Statt FaktenFaktenFakten nur LügenLügenLügen?

    DY | 07:23

  3. Re: Keine #3

    sk3wy | 07:18

  4. Re: Mmmmh, 30 FPS

    NaruHina | 07:09

  5. Re: Quasi die Cloud zurück ins LAN holen

    Theholger | 07:09


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel