Archiv für die Kategorie » Sicherheit «

Heartbleed ist sehr einfach auszunutzen

Donnerstag, 17. April 2014, 16:29 Uhr | Autor:

“Heartbleed Bug”: BSI sieht weiteren Handlungsbedarf” (bsi.bund.de)

Inzwischen haben viele Betreiber von betroffenen IT-Systemen, insbesondere von Webservern, die Schwachstelle durch das Sicherheitsupdate geschlossen und die Zertifikate erneuert.
Das BSI stellt jedoch fest, dass derzeit noch viele Webseiten zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen für “Heartbleed”-Angriffe verwundbar sind. Solche Webseiten werden oftmals ohne professionellen Update-Prozess betrieben.

Ich weiß es nicht, aber vielleicht glauben die Betroffenen dass das Ausnutzen der Sicherheitslücke schwierig und langwierig wäre.

Die folgenden 10 Sekunden zeigen ein Programm welches die Lücke ausnutzt. Die empfangenen Daten werden in einer Datei speichert.


(Testseite: https://www.cloudflarechallenge.com/heartbleed)

Dies sieht nicht spektakulär aus, kann aber sehr einfach Zugangsdaten liefern. Man muss dem Programm nur die Domain geben und etwas warten — das war es schon. Der Angreifer muss nicht verstehen wie die Sicherheitslücke funktioniert, er muss nur in der gespeicherten Datei die interessanten Informationen suchen. Es wird einfach eine Zeitlang alles an Daten mitgeschnitten und dann wird geschaut was brauchbar ist. Eine Stunde und 1 Megabyte später hat der Angreifer dann vielleicht 20 Benutzername-Passwort-Kombinationen abgefischt. Dieser Angriff ist sehr einfach und je nach Website kann er für einen Kriminellen sehr interessant sein. Ein bestimmter Benutzer kann zwar nicht angegriffen werden, aber einem Kriminellen ist dies meist egal.

Das perfide an dieser Lücke ist: Eine Seite die Verschlüsselung (inkl. Heartbleed) anbietet ist angreifbar, während die unverschlüsselte Übertragung nicht so einfach angreifbar wäre. Um die Zugangsdaten von Logins aus einem Datenstrom gewinnen zu können, braucht es einen Men in the middle. Das heißt, ein Angreifer muss beispielsweise ein offenes WLAN aufspannen und Opfer in dieses Netz locken. Diese Art eines Angriffs erfordert etwas Aufwand. Der Angreifer muss einen geeigneten Standort suchen, wo sein Opfer ohne weiter nachzudenken ein offenes WLAN nutzt. Er muss auch seine Hardware vor Ort schaffen, die unter Umständen entdeckt wird, etc. etc. Heartbleed kann der Angreifer aus seiner Höhle nutzen ohne sich Sonnenlicht und Entdeckung aussetzen zu müssen.

Thema: Sicherheit | Beitrag kommentieren

NSA: Wir schauen nicht in Open Source rein, wirklich nicht! Würde ein Geheimdienst lügen?

Sonntag, 13. April 2014, 14:45 Uhr | Autor:

NSA will nichts von “Heartbleed”-Lücke gewusst haben” (heise.de)

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe.

Verschlüsselung funktioniert weiterhin, sofern sie richtig implementiert ist. Ein Geheimdienst wie die NSA hat damit natürlich Probleme. OpenSSL ist weit verbreitet und Open Source, also bietet es sich an, darin nach Sicherheitslücken zu suchen. Die NSA ist wahrscheinlich eine der wenigen Stellen die sich offenen Quellcode eingehend ansieht. Vielleicht nicht von jedem Plugin für irgendein CMS, aber die Software die für die Informationsgewinnung relevant ist ist auf deren Liste. Es ist naiv zu glauben, die NSA würde solch eine offensichtliche Möglichkeit nicht nutzen. Das Dementi kam auch recht schnell. Bei einer Behörde mit mehreren zehntausend Mitarbeitern und x Abteilung, würde eine echte interne Recherche wohl etwas mehr als drei Tage dauern.


Dass die NSA auch verschlüsselte Daten speichern, um diese später zu entschlüsseln, ist kein Geheimnis.

Keys auslesen ist einfacher als gedacht” (golem.de)

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.



Ein Geheimdienst würde sich niemals vorsätzlich der Möglichkeit berauben eine Verschlüsselung aufzubrechen, zumal wenn man ihn für den Bug nicht verantwortlich machen kann. Es gibt zwar sehr dumme Verschwörungstheoretiker die eine Hexenjagd auf den deutschen Programmierer veranstalten, aber einen echten Zusammenhang zwischen ihm und der NSA ist nicht herstellbar. Bei dem Zufallszahlengenerator, der Backdoor darin und RSA, sah dies etwas anders aus: “Mehr Details zur Hintertür im Zufallszahlengenerator Dual EC DRBG” (heise.de)

Das die NSA viele Mio. Menschen vorsätzlich dem Treiben von Kriminellen ausgeliefert hat, ist im höchsten Maße verwerflich und müsste Konsequenzen haben. “müsste” weil mir klar ist, dass die Politik nicht den Mut dazu haben wird.

Thema: Open Source, Politik, Sicherheit | Beitrag kommentieren