• IT-Karriere:
  • Services:

Heartbleed: Keys auslesen ist einfacher als gedacht

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.

Artikel veröffentlicht am , Hanno Böck
Cloudfare wollte wissen, ob private Keys auslesbar sind.
Cloudfare wollte wissen, ob private Keys auslesbar sind. (Bild: Cloudfare/Screenshot: Golem.de)

Der Heartbleed-Bug ist möglicherweise gravierender als gedacht. Zwar konnte vielfach gezeigt werden, dass Server Passwörter, TLS-Session-Cookies und andere kritische Daten preisgaben, aber nur wenigen ist es bisher gelungen, private Schlüssel zu extrahieren. Das gelang nur unter Laborbedingungen direkt nach dem Neustart eines Servers. Doch offenbar ist das Extrahieren der privaten Keys einfacher als angenommen.

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Die Firma Cloudflare wollte es genauer wissen. Das Unternehmen setzt selbst viele HTTPS-Server mit der Software Nginx und OpenSSL ein. Nach einer Analyse gingen die Sicherheitsexperten von Cloudflare eigentlich davon aus, dass beim Webserver Nginx das Auslesen der privaten Keys extrem unwahrscheinlich oder sogar ganz unmöglich ist. Um das zu prüfen, hat Cloudflare am Freitag einen Testserver aufgesetzt und die Heartbleed Challenge ausgerufen.

Es hat nicht lange gedauert, bis die ersten Erfolge vermeldet wurden. Der Nodejs-Entwickler Fedor Indutny hat als Erster erfolgreich nachgewiesen, dass er im Besitz des privaten Schlüssels des Testservers ist. Er benötigte dafür 2,5 Millionen Anfragen. Kurz darauf gelang es einem zweiten Tester, Ilkka Mattila vom National Cyber Security Centre Finland (NCSC-FI), den privaten Key des Servers zu extrahieren. Er benötigte dafür nur etwa 100.000 Anfragen an den Server.

Damit ist wohl der Beweis erbracht, dass der Heartbleed-Bug das Extrahieren von privaten Keys ermöglicht. Da es bereits Hinweise gibt, dass Heartbleed von einigen Angreifern schon vor Monaten ausgenutzt worden war, dürfte zumindest bei sicherheitskritischen Services für Webadministratoren kaum ein Weg daran vorbeiführen, ihre Zertifikate zu tauschen. Problematisch ist dabei allerdings, dass die alten Zertifikate selbst dann eine Gefahr darstellen. Zwar kann man Zertifikate von der Zertifizierungsstelle zurückziehen lassen, doch von den heutigen Browsern wird die Gültigkeit der Zertifikate entweder gar nicht oder nur unzureichend getestet. Beide für den Rückruf zur Verfügung stehenden Verfahren - CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) - haben in der Praxis einige Probleme.

Details darüber, wie die beiden Entwickler an den privaten Key gelangten, wurden bislang nicht veröffentlicht. Interessant wäre dabei vor allem, ob sich die Angriffe auch auf andere Webserver übertragen lassen und ob insbesondere auch der Marktführer Apache verwundbar ist. Welche Daten ein Heartbleed-Angriff offenlegt, hängt vor allem davon ab, wie Betriebssystem und Serversoftware diese im Speicher ablegen.

Dan Kaminsky schreibt in seinem Blog, dass er davon ausgehe, dass innerhalb der nächste Wochen Software auftauchen werde, die auf einfache Weise das Extrahieren privater Keys von Servern mit der Heartbleed-Lücke ermöglichen werde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

jayrworthington 15. Apr 2014

Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen...

bernd71 14. Apr 2014

Closed source muss ja nicht heißen das sich niemand den Code angesehen hat. Man kann ja...

lottikarotti 14. Apr 2014

Lass es dir schmecken..

widdermann 13. Apr 2014

Es zwingt dich ja niemand Firefox und eBay zu benutzen, zumal beides eh USA-Produkte sind...

Ext3h 13. Apr 2014

Postgeheimnis? In der Regel einfach durch das Öffnen des Briefes und anschließendes...


Folgen Sie uns
       


Minecraft Earth - Gameplay

Minecraft schafft den Sprung in die echte-virtuelle Welt: In Minecraft Earth können Spieler direkt in der Nachbarschaft prächtige Gebäude aus dem Boden stampfen und gegen Skelette kämpfen.

Minecraft Earth - Gameplay Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

    •  /