Abo
  • IT-Karriere:

OpenSSL-Bug: Spuren von Heartbleed schon im November 2013

Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf.

Artikel veröffentlicht am , Hanno Böck
Die EFF vermutet, dass der Heartbleed-Bug schon vor vielen Monaten ausgenutzt wurde.
Die EFF vermutet, dass der Heartbleed-Bug schon vor vielen Monaten ausgenutzt wurde. (Bild: EFF)

Laut einem Bericht der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) gibt es Hinweise, dass der Heartbleed-Bug in OpenSSL bereits vor vielen Monaten praktisch ausgenutzt wurde. Ein Systemadministrator hat demnach in seinen Logs Hinweise auf den Fehler gefunden.

Stellenmarkt
  1. Stadtreinigung Hamburg Anstalt des öffentlichen Rechts, Hamburg
  2. JOB AG Industrial Service GmbH, Home-Office

Am Mittwochabend berichtete die Webseite Ars Technica über zwei derartige Vorfälle, einer davon stellte sich nach einer genaueren Analyse als Fehlalarm heraus. Der andere Bericht ist hingegen laut EFF ernst zu nehmen.

Terrence Koeman von der Firma Mediamonks fand demnach in Logfiles vom November 2013 in einem TLS-Verbindungsaufbau eine Bytefolge, die exakt dem entsprach, was die meisten aktuell verfügbaren Heartbleed-Exploits als Datenpaket an Server senden. Der Ursprung dieses möglichen Angriffs waren zwei IPs, die zu einem Botnetz gehören, mit dem offenbar in der Vergangenheit versucht wurde, im großen Stil Chats im IRC-Netzwerk Freenode zu beobachten. Die EFF vermutet, dass ein solches Botnetz eher von Geheimdiensten als von Malware-Entwicklern betrieben wird, weil Letztere eher kein Interesse am Mitschneiden von Chatlogs hätten.

Die EFF fordert nun alle Systemadministratoren auf, nach ähnlichen Spuren in ihren Logs zu suchen. Das ist aber nur in wenigen Fällen möglich. Normale Serveranwendungen wie beispielsweise ein Apache-Webserver speichern keine derart detaillierten Informationen über TLS-Verbindungen in ihren Logs. Daher hinterlässt ein Angriff mit dem Heartbleed-Bug in aller Regel auch keine Spuren. Nur wer die Datenströme von eingehenden TLS-Verbindungen vollständig speichert, hat eine Chance, in den Logs fündig zu werden.

Die verdächtige Bytefolge lautet 18 03 02 00 03 01 40 00, die letzten beiden Stellen können jedoch auch anders lauten. Sie bezeichnen die Länge des Speichers, den ein Angreifer auslesen möchte.



Anzeige
Hardware-Angebote
  1. 72,99€ (Release am 19. September)
  2. 259€ + Versand oder kostenlose Marktabholung
  3. 80,90€ + Versand
  4. 289€

doctorseus 13. Apr 2014

Nein, weder ironisch noch sarkastisch. Eher ein fenster Depp.

Exxenmann 11. Apr 2014

Hallo zusammen, ich sitze im selben T-Systems Gebäude wie der Verursacher und muss...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Telefónica Deutschland Samsung will in Deutschland 5G-Netze aufbauen
  2. Landtag Niedersachsen beschließt Ausstieg aus DAB+
  3. Vodafone 5G-Technik funkt im Werk des Elektroautoherstellers e.Go

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

      •  /