Archiv für die Kategorie » Sicherheit «

Heartbleed auch ohne Kundenkonten ausnutzbar

Dienstag, 22. April 2014, 15:48 Uhr | Autor:

Weiterhin sind tausende von Websites für Heartbleed anfällig. Bei einem Massencheck von 16.128 IP-Adressen (IP-Bereich eines großen Hosters) wurden 1.138 Funde verzeichnet. Da Checks von IP-Adressen keine zuverlässigen Ergebnisse liefern, also durchaus eine IP-Adresse keine Anfälligkeit zeigt, aber die Domain darauf schon, muss mit mehr als 7,06% für Hearbleed angreifbaren Seiten gerechnet werden.

Mit Heartbleed-Ext (addons.mozilla.org) gibt es für den Firefox ein Add-on, welches anzeigt ob ein Server eine angreifbare Version von OpenSSL verwendet. Das Icon wird rot und oben wird ein Hinweis eingeblendet, der die Heartbleed-Anfälligkeit anzeigt. Wenn das Icon gelb wird, kann die Anfälligkeit nicht eindeutig festgestellt werden, in dem Fall könnte der SSL Server Test (ssllabs.com) von Qualys helfen.
Heartbleed Firefox Add-on

In den Bewertungen zu dem Add-on meint jemand, dass auch Seiten als anfällig angezeigt werden, welche gar keine Verschlüsselung anbieten und dass dies zu Verwirrung führt. Ich konnte keine Seite finden, bei der das Icon rot wurde, aber keine Anfälligkeit besteht.

Es gibt allerdings Seiten, die “offiziell” keine Verschlüsselung anbieten, einfach weil es keine Möglichkeit der Registrierung für Besucher gibt. Bei vielen Hostern gibt es standardmäßig einen verschlüsselten Zugang zur Administration des Webspace auf Port 8443. Der folgende Screenshot zeigt die bereits oben erwähnte Seite, wenn man sie per https aufruft.
Heartbleed ohne SSL?
Erweitert man die URL mit dem entsprechenden Port, so wird das Login angezeigt. Das folgende Video zeigt die Anfälligkeit für den Heartbleed-Bug.

Wer also glaubt, nur weil er keine Benutzerkonten anbietet, müsse den Heartbleed-Bug nicht fixen, der irrt sich! Auch sind nicht nur Websites anfällig. E-Mail-Zugänge können genauso betroffen sein.

Thema: Sicherheit | Beitrag kommentieren

Heartbleed ist sehr einfach auszunutzen

Donnerstag, 17. April 2014, 16:29 Uhr | Autor:

“Heartbleed Bug”: BSI sieht weiteren Handlungsbedarf” (bsi.bund.de)

Inzwischen haben viele Betreiber von betroffenen IT-Systemen, insbesondere von Webservern, die Schwachstelle durch das Sicherheitsupdate geschlossen und die Zertifikate erneuert.
Das BSI stellt jedoch fest, dass derzeit noch viele Webseiten zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen für “Heartbleed”-Angriffe verwundbar sind. Solche Webseiten werden oftmals ohne professionellen Update-Prozess betrieben.

Ich weiß es nicht, aber vielleicht glauben die Betroffenen dass das Ausnutzen der Sicherheitslücke schwierig und langwierig wäre.

Die folgenden 10 Sekunden zeigen ein Programm welches die Lücke ausnutzt. Die empfangenen Daten werden in einer Datei speichert.


(Testseite: https://www.cloudflarechallenge.com/heartbleed)

Dies sieht nicht spektakulär aus, kann aber sehr einfach Zugangsdaten liefern. Man muss dem Programm nur die Domain geben und etwas warten — das war es schon. Der Angreifer muss nicht verstehen wie die Sicherheitslücke funktioniert, er muss nur in der gespeicherten Datei die interessanten Informationen suchen. Es wird einfach eine Zeitlang alles an Daten mitgeschnitten und dann wird geschaut was brauchbar ist. Eine Stunde und 1 Megabyte später hat der Angreifer dann vielleicht 20 Benutzername-Passwort-Kombinationen abgefischt. Dieser Angriff ist sehr einfach und je nach Website kann er für einen Kriminellen sehr interessant sein. Ein bestimmter Benutzer kann zwar nicht angegriffen werden, aber einem Kriminellen ist dies meist egal.

Das perfide an dieser Lücke ist: Eine Seite die Verschlüsselung (inkl. Heartbleed) anbietet ist angreifbar, während die unverschlüsselte Übertragung nicht so einfach angreifbar wäre. Um die Zugangsdaten von Logins aus einem Datenstrom gewinnen zu können, braucht es einen Men in the middle. Das heißt, ein Angreifer muss beispielsweise ein offenes WLAN aufspannen und Opfer in dieses Netz locken. Diese Art eines Angriffs erfordert etwas Aufwand. Der Angreifer muss einen geeigneten Standort suchen, wo sein Opfer ohne weiter nachzudenken ein offenes WLAN nutzt. Er muss auch seine Hardware vor Ort schaffen, die unter Umständen entdeckt wird, etc. etc. Heartbleed kann der Angreifer aus seiner Höhle nutzen ohne sich Sonnenlicht und Entdeckung aussetzen zu müssen.

Thema: Sicherheit | Beitrag kommentieren