Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

Artikel veröffentlicht am ,
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde.
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF)

Mehrere Forscher haben die Auswirkungen der im April 2014 bekannt gewordenen Heartbleed-Lücke untersucht. Es gebe keine Hinweise darauf, dass die schwere Sicherheitslücke ausgenutzt worden sei, bevor sie veröffentlicht wurde, heißt es in einer aktuellen Studie. Spätestens 22 Stunden, nachdem Heartbleed bekannt wurde, begannen die ersten Scans nach potenziell verwundbaren Servern. Die Forscher machten dabei 692 Quellen aus, die größtenteils aus Amazons EC2 und von chinesischen autonomen Systemen stammten.

Stellenmarkt
  1. Service Desk Specialist (m/w/d)
    ALLPLAN GmbH, München
  2. Product Owner (m/w/d) Daten / Technik
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Fürth, Mannheim
Detailsuche

Um herauszufinden, ob es vor der Bekanntgabe der Heartbleed-Lücke Angriffe darüber gab, haben die Forscher zwischen November 2013 und April 2014 aufgezeichnete Datenpakete untersucht. Sie stammen aus Honeypots des Lawrence Berkeley National Laboratory, dem National Energy Research Scientific Computing Center und aus Amazons E2C-Netzwerk. Es gebe in dem aufgezeichneten Datenverkehr keine Hinweise darauf, dass es Angriffe auf Server über die Heartbleed-Lücke gegeben habe. Die Forscher weisen aber darauf hin, dass die Aufzeichnungen nicht den kompletten Zeitraum erfasst hätten.

Erste Angriffe nach 21 Stunden

Bereits 21 Stunden und 29 Minuten nach Bekanntwerden der Lücke habe es aber bereits die ersten nachweisbaren Angriffe gegeben, so die Studie. Etwa 24 bis 55 Prozent der laut Alexa-Webdienst 1 Million populärsten Webseiten seien zunächst verwundbar gewesen. Die Diskrepanz zwischen den Zahlen ruhe daher, dass es sich bei Heartbeat, in dem sich die Heartbleed getaufte Sicherheitslücke befand, um eine Erweiterung für OpenSSL handelt, die zwar vorhanden, aber nicht auf allen Servern tatsächlich aktiviert war.

Zahlreiche Webseiten waren bereits über die Lücke informiert, bevor sie publik gemacht wurde, darunter Facebook, Akamai und Cloudflare. Viele Linux-Distributoren wurden 24 Stunden vor der geplanten Veröffentlichung der Sicherheitslücke über eine geschlossene Vendor-Mailingliste darüber informiert, darunter Red Hat, Suse, Debian, FreeBSD und ALT Linux. Die Mitglieder dieser Liste sind zu Stillschweigen verpflichtet. Einige Distributoren und Hersteller erfuhren aber erst durch die Bekanntgabe von der Sicherheitslücke, darunter Ubuntu, Gentoo, die Entwickler um Chromium sowie die Hardwarehersteller Cisco und Juniper.

Schnell gepatcht

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Laut einer, in dem Dokument veröffentlichten, Zeitlinie entdeckte der Google-Mitarbeiter Neel Mehta am 21. März die Lücke. Am gleichen Tag schloss Google die Lücke auf seinen Servern. Zehn Tage später informierte Google Cloudflare. Am darauffolgenden 1. April wurde das OpenSSL-Team von Google informiert.

Inzwischen hatte unabhängig von Google das Unternehmen Codenomicon die Sicherheitslücke entdeckt und das finnische National Cyber Security Centre informiert. Das wiederum informierte das OpenSSL-Team am 7. April. Deren Entwickler hatten bereits einen Patch erstellt und veröffentlichten am gleichen Tag die gepatchte Version 1.0.1g der Verschlüsselungssoftware. Wenig später machten Cloudflare und Codenomicon den Heartbleed-Bug über Twitter bekannt.

Schnelle Angriffe

Etwas mehr als 21 Stunden nach der Veröffentlichung begannen Unbekannte, im Netz nach verwundbaren Servern zu suchen. Da hatten bereits fast alle der nach Alexa 10.000 wichtigsten Webseiten die Lücke geschlossen, falls sie betroffen waren. Von insgesamt 3.687 Webseiten, die HTTPS einsetzten, waren nur 630 noch verwundbar. Allerdings handelte es sich dabei um teils große Webseiten, darunter Yahoo, Imgur, Flickr oder die Suchmaschine DuckDuckGo.

Es waren aber nicht nur die Server der Webseiten betroffen. Es gab auch zahlreiche Geräte, auf denen fehlerhafte Versionen von OpenSSL installiert waren, darunter NAS-Systeme, Firewall- und VPN-Geräte und sogar Drucker diverser Hersteller. Außerdem war die Verwaltungssoftware zahlreicher Anbieter betroffen, darunter IBMs System X Integrated Management Modules, VMwares Server sowie Parallels Konfigurationswerkzeuge Plesk und Confixx. Auch das Tor-Projekt war vom Heartbleed-Bug betroffen. Auch Bitcoin-Clients enthielten die fehlerhafte Version von OpenSSL. In mindestens einem Fall wurden Zugangsdaten der Kunden einer Bitcoin-Börse gestohlen, etwa bei BTCJam. Andere Börsen setzten vorübergehend ihre Transaktionen aus, bis ihre Server am 8. April gepatcht wurden.

Schleppender Zertifikatsaustausch

Die Studie hat auch untersucht, wie schnell die betroffenen Webseitenbetreiber ihre Zertifikate ausgetauscht haben. Angreifer hätten über die Lücke die Schlüssel der Zertifikate auslesen können. Während die Hersteller beim Reparieren der Sicherheitslücke recht schnell waren, dauerte es deutlich länger, bis die ersten Zertifikate ausgetauscht wurden. Innerhalb eines Monats nach der Veröffentlichung der Sicherheitslücke hatten nur etwa 10 Prozent der betroffenen Webseiten ihre Zertifikate ausgetauscht, während etwa 79 Prozent die Lücke selbst bereits geschlossen hatten. Zudem hatten von den 10 Prozent wiederum nur 19 Prozent ihre alten Schlüssel zurückgezogen. Noch gravierender, so die Studie, sei jedoch, dass 14 Prozent die alten Schlüssel auch weiterhin noch benutzten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /