Abo
  • Services:
Anzeige
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde.
Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF)

Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

Anzeige

Mehrere Forscher haben die Auswirkungen der im April 2014 bekannt gewordenen Heartbleed-Lücke untersucht. Es gebe keine Hinweise darauf, dass die schwere Sicherheitslücke ausgenutzt worden sei, bevor sie veröffentlicht wurde, heißt es in einer aktuellen Studie. Spätestens 22 Stunden, nachdem Heartbleed bekannt wurde, begannen die ersten Scans nach potenziell verwundbaren Servern. Die Forscher machten dabei 692 Quellen aus, die größtenteils aus Amazons EC2 und von chinesischen autonomen Systemen stammten.

Um herauszufinden, ob es vor der Bekanntgabe der Heartbleed-Lücke Angriffe darüber gab, haben die Forscher zwischen November 2013 und April 2014 aufgezeichnete Datenpakete untersucht. Sie stammen aus Honeypots des Lawrence Berkeley National Laboratory, dem National Energy Research Scientific Computing Center und aus Amazons E2C-Netzwerk. Es gebe in dem aufgezeichneten Datenverkehr keine Hinweise darauf, dass es Angriffe auf Server über die Heartbleed-Lücke gegeben habe. Die Forscher weisen aber darauf hin, dass die Aufzeichnungen nicht den kompletten Zeitraum erfasst hätten.

Erste Angriffe nach 21 Stunden

Bereits 21 Stunden und 29 Minuten nach Bekanntwerden der Lücke habe es aber bereits die ersten nachweisbaren Angriffe gegeben, so die Studie. Etwa 24 bis 55 Prozent der laut Alexa-Webdienst 1 Million populärsten Webseiten seien zunächst verwundbar gewesen. Die Diskrepanz zwischen den Zahlen ruhe daher, dass es sich bei Heartbeat, in dem sich die Heartbleed getaufte Sicherheitslücke befand, um eine Erweiterung für OpenSSL handelt, die zwar vorhanden, aber nicht auf allen Servern tatsächlich aktiviert war.

Zahlreiche Webseiten waren bereits über die Lücke informiert, bevor sie publik gemacht wurde, darunter Facebook, Akamai und Cloudflare. Viele Linux-Distributoren wurden 24 Stunden vor der geplanten Veröffentlichung der Sicherheitslücke über eine geschlossene Vendor-Mailingliste darüber informiert, darunter Red Hat, Suse, Debian, FreeBSD und ALT Linux. Die Mitglieder dieser Liste sind zu Stillschweigen verpflichtet. Einige Distributoren und Hersteller erfuhren aber erst durch die Bekanntgabe von der Sicherheitslücke, darunter Ubuntu, Gentoo, die Entwickler um Chromium sowie die Hardwarehersteller Cisco und Juniper.

Schnell gepatcht

Laut einer, in dem Dokument veröffentlichten, Zeitlinie entdeckte der Google-Mitarbeiter Neel Mehta am 21. März die Lücke. Am gleichen Tag schloss Google die Lücke auf seinen Servern. Zehn Tage später informierte Google Cloudflare. Am darauffolgenden 1. April wurde das OpenSSL-Team von Google informiert.

Inzwischen hatte unabhängig von Google das Unternehmen Codenomicon die Sicherheitslücke entdeckt und das finnische National Cyber Security Centre informiert. Das wiederum informierte das OpenSSL-Team am 7. April. Deren Entwickler hatten bereits einen Patch erstellt und veröffentlichten am gleichen Tag die gepatchte Version 1.0.1g der Verschlüsselungssoftware. Wenig später machten Cloudflare und Codenomicon den Heartbleed-Bug über Twitter bekannt.

Schnelle Angriffe

Etwas mehr als 21 Stunden nach der Veröffentlichung begannen Unbekannte, im Netz nach verwundbaren Servern zu suchen. Da hatten bereits fast alle der nach Alexa 10.000 wichtigsten Webseiten die Lücke geschlossen, falls sie betroffen waren. Von insgesamt 3.687 Webseiten, die HTTPS einsetzten, waren nur 630 noch verwundbar. Allerdings handelte es sich dabei um teils große Webseiten, darunter Yahoo, Imgur, Flickr oder die Suchmaschine DuckDuckGo.

Es waren aber nicht nur die Server der Webseiten betroffen. Es gab auch zahlreiche Geräte, auf denen fehlerhafte Versionen von OpenSSL installiert waren, darunter NAS-Systeme, Firewall- und VPN-Geräte und sogar Drucker diverser Hersteller. Außerdem war die Verwaltungssoftware zahlreicher Anbieter betroffen, darunter IBMs System X Integrated Management Modules, VMwares Server sowie Parallels Konfigurationswerkzeuge Plesk und Confixx. Auch das Tor-Projekt war vom Heartbleed-Bug betroffen. Auch Bitcoin-Clients enthielten die fehlerhafte Version von OpenSSL. In mindestens einem Fall wurden Zugangsdaten der Kunden einer Bitcoin-Börse gestohlen, etwa bei BTCJam. Andere Börsen setzten vorübergehend ihre Transaktionen aus, bis ihre Server am 8. April gepatcht wurden.

Schleppender Zertifikatsaustausch

Die Studie hat auch untersucht, wie schnell die betroffenen Webseitenbetreiber ihre Zertifikate ausgetauscht haben. Angreifer hätten über die Lücke die Schlüssel der Zertifikate auslesen können. Während die Hersteller beim Reparieren der Sicherheitslücke recht schnell waren, dauerte es deutlich länger, bis die ersten Zertifikate ausgetauscht wurden. Innerhalb eines Monats nach der Veröffentlichung der Sicherheitslücke hatten nur etwa 10 Prozent der betroffenen Webseiten ihre Zertifikate ausgetauscht, während etwa 79 Prozent die Lücke selbst bereits geschlossen hatten. Zudem hatten von den 10 Prozent wiederum nur 19 Prozent ihre alten Schlüssel zurückgezogen. Noch gravierender, so die Studie, sei jedoch, dass 14 Prozent die alten Schlüssel auch weiterhin noch benutzten.


eye home zur Startseite
tibrob 15. Sep 2014

Mit Gesetzen alleine lässt sich keine Sicherheitslücke ausnutzen.



Anzeige

Stellenmarkt
  1. Daimler AG, Berlin
  2. Daimler AG, Stuttgart
  3. Allianz Deutschland AG, Unterföhring
  4. AKDB, München


Anzeige
Spiele-Angebote
  1. 41,99€
  2. 26,99€
  3. 10,99€

Folgen Sie uns
       


  1. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  2. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  3. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  4. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  5. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  6. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  7. Augmented Reality

    Google stellt Project Tango ein

  8. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  9. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  10. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
360-Grad-Kameras im Vergleich: Alles so schön rund hier
360-Grad-Kameras im Vergleich
Alles so schön rund hier
  1. USB-C DxO zeigt Ansteckkamera für Android-Smartphones
  2. G1 X Mark III Erste Kompaktkamera mit APS-C-Sensor von Canon
  3. Ozo Nokia hat keine Lust mehr auf VR-Hardware

E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

  1. Prorussische Fakenews

    Crass Spektakel | 05:59

  2. Re: Technisch gesehen

    Crass Spektakel | 05:44

  3. Absolut keine Ahnung...

    Crass Spektakel | 05:39

  4. Re: Einfach aufhören

    User_x | 05:03

  5. Re: Scheissteil

    AIM-9 Sidewinder | 04:53


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel