Abo
  • IT-Karriere:

Heartbleed: Keys auslesen ist einfacher als gedacht

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.

Artikel veröffentlicht am , Hanno Böck
Cloudfare wollte wissen, ob private Keys auslesbar sind.
Cloudfare wollte wissen, ob private Keys auslesbar sind. (Bild: Cloudfare/Screenshot: Golem.de)

Der Heartbleed-Bug ist möglicherweise gravierender als gedacht. Zwar konnte vielfach gezeigt werden, dass Server Passwörter, TLS-Session-Cookies und andere kritische Daten preisgaben, aber nur wenigen ist es bisher gelungen, private Schlüssel zu extrahieren. Das gelang nur unter Laborbedingungen direkt nach dem Neustart eines Servers. Doch offenbar ist das Extrahieren der privaten Keys einfacher als angenommen.

Stellenmarkt
  1. Concardis GmbH, Eschborn
  2. SCHOTT AG, Mainz

Die Firma Cloudflare wollte es genauer wissen. Das Unternehmen setzt selbst viele HTTPS-Server mit der Software Nginx und OpenSSL ein. Nach einer Analyse gingen die Sicherheitsexperten von Cloudflare eigentlich davon aus, dass beim Webserver Nginx das Auslesen der privaten Keys extrem unwahrscheinlich oder sogar ganz unmöglich ist. Um das zu prüfen, hat Cloudflare am Freitag einen Testserver aufgesetzt und die Heartbleed Challenge ausgerufen.

Es hat nicht lange gedauert, bis die ersten Erfolge vermeldet wurden. Der Nodejs-Entwickler Fedor Indutny hat als Erster erfolgreich nachgewiesen, dass er im Besitz des privaten Schlüssels des Testservers ist. Er benötigte dafür 2,5 Millionen Anfragen. Kurz darauf gelang es einem zweiten Tester, Ilkka Mattila vom National Cyber Security Centre Finland (NCSC-FI), den privaten Key des Servers zu extrahieren. Er benötigte dafür nur etwa 100.000 Anfragen an den Server.

Damit ist wohl der Beweis erbracht, dass der Heartbleed-Bug das Extrahieren von privaten Keys ermöglicht. Da es bereits Hinweise gibt, dass Heartbleed von einigen Angreifern schon vor Monaten ausgenutzt worden war, dürfte zumindest bei sicherheitskritischen Services für Webadministratoren kaum ein Weg daran vorbeiführen, ihre Zertifikate zu tauschen. Problematisch ist dabei allerdings, dass die alten Zertifikate selbst dann eine Gefahr darstellen. Zwar kann man Zertifikate von der Zertifizierungsstelle zurückziehen lassen, doch von den heutigen Browsern wird die Gültigkeit der Zertifikate entweder gar nicht oder nur unzureichend getestet. Beide für den Rückruf zur Verfügung stehenden Verfahren - CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) - haben in der Praxis einige Probleme.

Details darüber, wie die beiden Entwickler an den privaten Key gelangten, wurden bislang nicht veröffentlicht. Interessant wäre dabei vor allem, ob sich die Angriffe auch auf andere Webserver übertragen lassen und ob insbesondere auch der Marktführer Apache verwundbar ist. Welche Daten ein Heartbleed-Angriff offenlegt, hängt vor allem davon ab, wie Betriebssystem und Serversoftware diese im Speicher ablegen.

Dan Kaminsky schreibt in seinem Blog, dass er davon ausgehe, dass innerhalb der nächste Wochen Software auftauchen werde, die auf einfache Weise das Extrahieren privater Keys von Servern mit der Heartbleed-Lücke ermöglichen werde.



Anzeige
Spiele-Angebote
  1. 49,94€
  2. 2,19€
  3. (-70%) 14,99€
  4. 1,72€

jayrworthington 15. Apr 2014

Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen...

bernd71 14. Apr 2014

Closed source muss ja nicht heißen das sich niemand den Code angesehen hat. Man kann ja...

lottikarotti 14. Apr 2014

Lass es dir schmecken..

widdermann 13. Apr 2014

Es zwingt dich ja niemand Firefox und eBay zu benutzen, zumal beides eh USA-Produkte sind...

Ext3h 13. Apr 2014

Postgeheimnis? In der Regel einfach durch das Öffnen des Briefes und anschließendes...


Folgen Sie uns
       


Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

    •  /