Abo
  • Services:

Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

Artikel veröffentlicht am ,
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde.
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF)

Mehrere Forscher haben die Auswirkungen der im April 2014 bekannt gewordenen Heartbleed-Lücke untersucht. Es gebe keine Hinweise darauf, dass die schwere Sicherheitslücke ausgenutzt worden sei, bevor sie veröffentlicht wurde, heißt es in einer aktuellen Studie. Spätestens 22 Stunden, nachdem Heartbleed bekannt wurde, begannen die ersten Scans nach potenziell verwundbaren Servern. Die Forscher machten dabei 692 Quellen aus, die größtenteils aus Amazons EC2 und von chinesischen autonomen Systemen stammten.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln

Um herauszufinden, ob es vor der Bekanntgabe der Heartbleed-Lücke Angriffe darüber gab, haben die Forscher zwischen November 2013 und April 2014 aufgezeichnete Datenpakete untersucht. Sie stammen aus Honeypots des Lawrence Berkeley National Laboratory, dem National Energy Research Scientific Computing Center und aus Amazons E2C-Netzwerk. Es gebe in dem aufgezeichneten Datenverkehr keine Hinweise darauf, dass es Angriffe auf Server über die Heartbleed-Lücke gegeben habe. Die Forscher weisen aber darauf hin, dass die Aufzeichnungen nicht den kompletten Zeitraum erfasst hätten.

Erste Angriffe nach 21 Stunden

Bereits 21 Stunden und 29 Minuten nach Bekanntwerden der Lücke habe es aber bereits die ersten nachweisbaren Angriffe gegeben, so die Studie. Etwa 24 bis 55 Prozent der laut Alexa-Webdienst 1 Million populärsten Webseiten seien zunächst verwundbar gewesen. Die Diskrepanz zwischen den Zahlen ruhe daher, dass es sich bei Heartbeat, in dem sich die Heartbleed getaufte Sicherheitslücke befand, um eine Erweiterung für OpenSSL handelt, die zwar vorhanden, aber nicht auf allen Servern tatsächlich aktiviert war.

Zahlreiche Webseiten waren bereits über die Lücke informiert, bevor sie publik gemacht wurde, darunter Facebook, Akamai und Cloudflare. Viele Linux-Distributoren wurden 24 Stunden vor der geplanten Veröffentlichung der Sicherheitslücke über eine geschlossene Vendor-Mailingliste darüber informiert, darunter Red Hat, Suse, Debian, FreeBSD und ALT Linux. Die Mitglieder dieser Liste sind zu Stillschweigen verpflichtet. Einige Distributoren und Hersteller erfuhren aber erst durch die Bekanntgabe von der Sicherheitslücke, darunter Ubuntu, Gentoo, die Entwickler um Chromium sowie die Hardwarehersteller Cisco und Juniper.

Schnell gepatcht

Laut einer, in dem Dokument veröffentlichten, Zeitlinie entdeckte der Google-Mitarbeiter Neel Mehta am 21. März die Lücke. Am gleichen Tag schloss Google die Lücke auf seinen Servern. Zehn Tage später informierte Google Cloudflare. Am darauffolgenden 1. April wurde das OpenSSL-Team von Google informiert.

Inzwischen hatte unabhängig von Google das Unternehmen Codenomicon die Sicherheitslücke entdeckt und das finnische National Cyber Security Centre informiert. Das wiederum informierte das OpenSSL-Team am 7. April. Deren Entwickler hatten bereits einen Patch erstellt und veröffentlichten am gleichen Tag die gepatchte Version 1.0.1g der Verschlüsselungssoftware. Wenig später machten Cloudflare und Codenomicon den Heartbleed-Bug über Twitter bekannt.

Schnelle Angriffe

Etwas mehr als 21 Stunden nach der Veröffentlichung begannen Unbekannte, im Netz nach verwundbaren Servern zu suchen. Da hatten bereits fast alle der nach Alexa 10.000 wichtigsten Webseiten die Lücke geschlossen, falls sie betroffen waren. Von insgesamt 3.687 Webseiten, die HTTPS einsetzten, waren nur 630 noch verwundbar. Allerdings handelte es sich dabei um teils große Webseiten, darunter Yahoo, Imgur, Flickr oder die Suchmaschine DuckDuckGo.

Es waren aber nicht nur die Server der Webseiten betroffen. Es gab auch zahlreiche Geräte, auf denen fehlerhafte Versionen von OpenSSL installiert waren, darunter NAS-Systeme, Firewall- und VPN-Geräte und sogar Drucker diverser Hersteller. Außerdem war die Verwaltungssoftware zahlreicher Anbieter betroffen, darunter IBMs System X Integrated Management Modules, VMwares Server sowie Parallels Konfigurationswerkzeuge Plesk und Confixx. Auch das Tor-Projekt war vom Heartbleed-Bug betroffen. Auch Bitcoin-Clients enthielten die fehlerhafte Version von OpenSSL. In mindestens einem Fall wurden Zugangsdaten der Kunden einer Bitcoin-Börse gestohlen, etwa bei BTCJam. Andere Börsen setzten vorübergehend ihre Transaktionen aus, bis ihre Server am 8. April gepatcht wurden.

Schleppender Zertifikatsaustausch

Die Studie hat auch untersucht, wie schnell die betroffenen Webseitenbetreiber ihre Zertifikate ausgetauscht haben. Angreifer hätten über die Lücke die Schlüssel der Zertifikate auslesen können. Während die Hersteller beim Reparieren der Sicherheitslücke recht schnell waren, dauerte es deutlich länger, bis die ersten Zertifikate ausgetauscht wurden. Innerhalb eines Monats nach der Veröffentlichung der Sicherheitslücke hatten nur etwa 10 Prozent der betroffenen Webseiten ihre Zertifikate ausgetauscht, während etwa 79 Prozent die Lücke selbst bereits geschlossen hatten. Zudem hatten von den 10 Prozent wiederum nur 19 Prozent ihre alten Schlüssel zurückgezogen. Noch gravierender, so die Studie, sei jedoch, dass 14 Prozent die alten Schlüssel auch weiterhin noch benutzten.



Anzeige
Top-Angebote
  1. 99,00€
  2. (u. a. Outward 31,99€, Dirt Rally 2.0 Day One Edition 24,29€, Resident Evil 7 6,99€, Football...
  3. 319,90€ (Bestpreis!)

tibrob 15. Sep 2014

Mit Gesetzen alleine lässt sich keine Sicherheitslücke ausnutzen.


Folgen Sie uns
       


Sony Xperia L3 - Hands on (MWC 2019)

Sony hat das Xperia L3 auf dem MWC 2019 in Barcelona vorgestellt. Das Einsteiger-Smartphone mit Dual-Kamera steckt in einem schmalen 2:1-Gehäuse. Es hat den Fingerabdrucksensor wieder auf der rechten Seite. Das Smartphone erscheint Anfang März 2019 zum Preis von 200 Euro.

Sony Xperia L3 - Hands on (MWC 2019) Video aufrufen
Openbook ausprobiert: Wie Facebook, nur anders
Openbook ausprobiert
Wie Facebook, nur anders

Seit gut drei Wochen ist das werbe- und trackingfreie soziale Netzwerk Openbook für die Kickstarter-Unterstützer online. Golem.de ist dabei - und freut sich über den angenehmen Umgangston und interessante neue Kontakte.
Ein Test von Tobias Költzsch

  1. Hack Verwaiste Twitter-Konten posten IS-Propaganda
  2. Openbook Open-Source-Alternative zu Facebook versucht es noch einmal
  3. Klage eingereicht Tinder-Mitgründer fordern Milliarden von Mutterkonzern

Mobile-Games-Auslese: Rollenspiel-Frühling mit leichten Schusswechseln
Mobile-Games-Auslese
Rollenspiel-Frühling mit leichten Schusswechseln

Action im Stil von Overwatch bietet Frag Pro Shooter, dazu kommt Retro-Arcade-Spaß mit Cure Hunters und eine gelungene Umsetzung des Brettspiels Die Burgen von Burgund: Neue Mobile Games sorgen für viel Abwechslung.
Von Rainer Sigl

  1. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  2. Indiegames Stardew Valley kommt auf Android
  3. Mobile-Games-Auslese Die Evolution als Smartphone-Strategiespiel

Verschlüsselung: Ärger für die PGP-Keyserver
Verschlüsselung
Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
Ein Bericht von Hanno Böck

  1. OpenPGP/GnuPG Signaturen fälschen mit HTML und Bildern
  2. GPG-Entwickler Sequoia-Projekt baut OpenPGP in Rust

    •  /