Abo
  • Services:

Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

Artikel veröffentlicht am ,
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde.
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF)

Mehrere Forscher haben die Auswirkungen der im April 2014 bekannt gewordenen Heartbleed-Lücke untersucht. Es gebe keine Hinweise darauf, dass die schwere Sicherheitslücke ausgenutzt worden sei, bevor sie veröffentlicht wurde, heißt es in einer aktuellen Studie. Spätestens 22 Stunden, nachdem Heartbleed bekannt wurde, begannen die ersten Scans nach potenziell verwundbaren Servern. Die Forscher machten dabei 692 Quellen aus, die größtenteils aus Amazons EC2 und von chinesischen autonomen Systemen stammten.

Stellenmarkt
  1. DFL Digital Sports GmbH, Köln
  2. Controlware GmbH, Ingolstadt

Um herauszufinden, ob es vor der Bekanntgabe der Heartbleed-Lücke Angriffe darüber gab, haben die Forscher zwischen November 2013 und April 2014 aufgezeichnete Datenpakete untersucht. Sie stammen aus Honeypots des Lawrence Berkeley National Laboratory, dem National Energy Research Scientific Computing Center und aus Amazons E2C-Netzwerk. Es gebe in dem aufgezeichneten Datenverkehr keine Hinweise darauf, dass es Angriffe auf Server über die Heartbleed-Lücke gegeben habe. Die Forscher weisen aber darauf hin, dass die Aufzeichnungen nicht den kompletten Zeitraum erfasst hätten.

Erste Angriffe nach 21 Stunden

Bereits 21 Stunden und 29 Minuten nach Bekanntwerden der Lücke habe es aber bereits die ersten nachweisbaren Angriffe gegeben, so die Studie. Etwa 24 bis 55 Prozent der laut Alexa-Webdienst 1 Million populärsten Webseiten seien zunächst verwundbar gewesen. Die Diskrepanz zwischen den Zahlen ruhe daher, dass es sich bei Heartbeat, in dem sich die Heartbleed getaufte Sicherheitslücke befand, um eine Erweiterung für OpenSSL handelt, die zwar vorhanden, aber nicht auf allen Servern tatsächlich aktiviert war.

Zahlreiche Webseiten waren bereits über die Lücke informiert, bevor sie publik gemacht wurde, darunter Facebook, Akamai und Cloudflare. Viele Linux-Distributoren wurden 24 Stunden vor der geplanten Veröffentlichung der Sicherheitslücke über eine geschlossene Vendor-Mailingliste darüber informiert, darunter Red Hat, Suse, Debian, FreeBSD und ALT Linux. Die Mitglieder dieser Liste sind zu Stillschweigen verpflichtet. Einige Distributoren und Hersteller erfuhren aber erst durch die Bekanntgabe von der Sicherheitslücke, darunter Ubuntu, Gentoo, die Entwickler um Chromium sowie die Hardwarehersteller Cisco und Juniper.

Schnell gepatcht

Laut einer, in dem Dokument veröffentlichten, Zeitlinie entdeckte der Google-Mitarbeiter Neel Mehta am 21. März die Lücke. Am gleichen Tag schloss Google die Lücke auf seinen Servern. Zehn Tage später informierte Google Cloudflare. Am darauffolgenden 1. April wurde das OpenSSL-Team von Google informiert.

Inzwischen hatte unabhängig von Google das Unternehmen Codenomicon die Sicherheitslücke entdeckt und das finnische National Cyber Security Centre informiert. Das wiederum informierte das OpenSSL-Team am 7. April. Deren Entwickler hatten bereits einen Patch erstellt und veröffentlichten am gleichen Tag die gepatchte Version 1.0.1g der Verschlüsselungssoftware. Wenig später machten Cloudflare und Codenomicon den Heartbleed-Bug über Twitter bekannt.

Schnelle Angriffe

Etwas mehr als 21 Stunden nach der Veröffentlichung begannen Unbekannte, im Netz nach verwundbaren Servern zu suchen. Da hatten bereits fast alle der nach Alexa 10.000 wichtigsten Webseiten die Lücke geschlossen, falls sie betroffen waren. Von insgesamt 3.687 Webseiten, die HTTPS einsetzten, waren nur 630 noch verwundbar. Allerdings handelte es sich dabei um teils große Webseiten, darunter Yahoo, Imgur, Flickr oder die Suchmaschine DuckDuckGo.

Es waren aber nicht nur die Server der Webseiten betroffen. Es gab auch zahlreiche Geräte, auf denen fehlerhafte Versionen von OpenSSL installiert waren, darunter NAS-Systeme, Firewall- und VPN-Geräte und sogar Drucker diverser Hersteller. Außerdem war die Verwaltungssoftware zahlreicher Anbieter betroffen, darunter IBMs System X Integrated Management Modules, VMwares Server sowie Parallels Konfigurationswerkzeuge Plesk und Confixx. Auch das Tor-Projekt war vom Heartbleed-Bug betroffen. Auch Bitcoin-Clients enthielten die fehlerhafte Version von OpenSSL. In mindestens einem Fall wurden Zugangsdaten der Kunden einer Bitcoin-Börse gestohlen, etwa bei BTCJam. Andere Börsen setzten vorübergehend ihre Transaktionen aus, bis ihre Server am 8. April gepatcht wurden.

Schleppender Zertifikatsaustausch

Die Studie hat auch untersucht, wie schnell die betroffenen Webseitenbetreiber ihre Zertifikate ausgetauscht haben. Angreifer hätten über die Lücke die Schlüssel der Zertifikate auslesen können. Während die Hersteller beim Reparieren der Sicherheitslücke recht schnell waren, dauerte es deutlich länger, bis die ersten Zertifikate ausgetauscht wurden. Innerhalb eines Monats nach der Veröffentlichung der Sicherheitslücke hatten nur etwa 10 Prozent der betroffenen Webseiten ihre Zertifikate ausgetauscht, während etwa 79 Prozent die Lücke selbst bereits geschlossen hatten. Zudem hatten von den 10 Prozent wiederum nur 19 Prozent ihre alten Schlüssel zurückgezogen. Noch gravierender, so die Studie, sei jedoch, dass 14 Prozent die alten Schlüssel auch weiterhin noch benutzten.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. ab 399€
  3. 309€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)
  4. (reduzierte Überstände, Restposten & Co.)

tibrob 15. Sep 2014

Mit Gesetzen alleine lässt sich keine Sicherheitslücke ausnutzen.


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

    •  /