CloudFlare: Heartbleed OpenSSL-Lücke weniger schlimm als befürchtet?

11. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Der Heartbleed Bug sorgt schon die ganze Woche für Schlagzeilen. Durch eine Lücke in OpenSSL soll es möglich sein, unter anderem private SSL-Keys von Servern abzugreifen und somit den verschlüsselten Datenverkehr für Angreifer sichtbar zu machen. Eine Katastrophe, wird OpenSSL von unzähligen Diensten. CloudFlare wusste seit 12 Tagen von der Lücke und hat seitdem getestet, wie und ob sich mit dem Heartbleed Bug tatsächlich private SSL-Keys abgreifen lassen.

Heartbleed

Das Ergebnis lässt etwas hoffen, laut CloudFlare sei es in den 12 Tagen nicht gelungen, SSL-Keys durch Angriffe von den Servern zu holen. Das heißt nun nicht, dass der Bug nicht existiert und eine theoretische Chance zur Erlangung der SSL-Keys besteht trotzdem, aber es scheint zumindest im Fall CloudFlare nicht so einfach zu sein, wie bisher angenommen. Dennoch können durch diese Lücke natürlich Daten von den Servern entwendet werden.

Dass es sich bei entwendeten Daten um SSL-Keys handelt ist aber unwahrscheinlich (nicht unmöglich), das hängt wohl mit der Speicheradresse der SSL-Keys zusammen. Dessen ist sich CloudFlare ziemlich sicher und lädt jeden dazu ein, eine extra präparierte, angreifbare Seite, zu attackieren, bzw. die SSL-Keys zu entwenden. Bisher war noch niemand erfolgreich.

CloudFlare teilt aber ebenfalls mit, dass es theoretisch dennoch möglich ist, an die SSL-Keys zu kommen. Und zwar nach einem Server-Neustart, wenn die Speicheradressen neu vergeben werden. Hier kann per Zufallstreffer durchaus ein SSL-Key zurück kommen.

Egal, ob Heartbleed nun die Entwendung von SSL-Keys ermöglicht oder nicht, mit einem Passwortwechsel bei allen Anbietern, die betroffen waren (und die bereits die Lücke gestopft haben) seid Ihr immer gut beraten. Wer das technische Verständnis für die OpenSSL-Lücke mitbringt, dem ist der ausführliche Artikel von CloudFlare zu empfehlen.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Quelle: The Verge |
Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7749 Artikel geschrieben.