CloudFlare: Heartbleed OpenSSL-Lücke weniger schlimm als befürchtet?
Der Heartbleed Bug sorgt schon die ganze Woche für Schlagzeilen. Durch eine Lücke in OpenSSL soll es möglich sein, unter anderem private SSL-Keys von Servern abzugreifen und somit den verschlüsselten Datenverkehr für Angreifer sichtbar zu machen. Eine Katastrophe, wird OpenSSL von unzähligen Diensten. CloudFlare wusste seit 12 Tagen von der Lücke und hat seitdem getestet, wie und ob sich mit dem Heartbleed Bug tatsächlich private SSL-Keys abgreifen lassen.
Das Ergebnis lässt etwas hoffen, laut CloudFlare sei es in den 12 Tagen nicht gelungen, SSL-Keys durch Angriffe von den Servern zu holen. Das heißt nun nicht, dass der Bug nicht existiert und eine theoretische Chance zur Erlangung der SSL-Keys besteht trotzdem, aber es scheint zumindest im Fall CloudFlare nicht so einfach zu sein, wie bisher angenommen. Dennoch können durch diese Lücke natürlich Daten von den Servern entwendet werden.
Dass es sich bei entwendeten Daten um SSL-Keys handelt ist aber unwahrscheinlich (nicht unmöglich), das hängt wohl mit der Speicheradresse der SSL-Keys zusammen. Dessen ist sich CloudFlare ziemlich sicher und lädt jeden dazu ein, eine extra präparierte, angreifbare Seite, zu attackieren, bzw. die SSL-Keys zu entwenden. Bisher war noch niemand erfolgreich.
CloudFlare teilt aber ebenfalls mit, dass es theoretisch dennoch möglich ist, an die SSL-Keys zu kommen. Und zwar nach einem Server-Neustart, wenn die Speicheradressen neu vergeben werden. Hier kann per Zufallstreffer durchaus ein SSL-Key zurück kommen.
Egal, ob Heartbleed nun die Entwendung von SSL-Keys ermöglicht oder nicht, mit einem Passwortwechsel bei allen Anbietern, die betroffen waren (und die bereits die Lücke gestopft haben) seid Ihr immer gut beraten. Wer das technische Verständnis für die OpenSSL-Lücke mitbringt, dem ist der ausführliche Artikel von CloudFlare zu empfehlen.
Wird geladen ...
Für was brauche ich SSL Keys wenn ich das PW gleich in Klartext habe ?
ich glaub um nachträglich alles zu entschlüsseln oder das zertfikat zu klauen und so einen zwischengeschalteten angriff zu starten.
Wie beruhigend, wenn eine krasse Sicherheitslücke nur schwer ausnutzbar ist 😉
Ich habe im Netz haufenweise Beiträge gelesen, wo Menschen (von der ersten Stunde an) angefangen haben, sich Dumps von betroffenen Servern zu holen und zu speichern. Massenweise. Passwörter sind schnell geändert, bei Kreditkarten dauert es ’ne Weile.
War doch klar, daß nach gefühlt 200 Jahren IT die Sicherheitslücken immer kleiner und immer „theoretischer“ werden. Bei mir hat sich nicht mal der Puls erhöht wegen „Heartbleed“. Mal wieder nur Panikmache.
@Friedhelm Czislik
das man mit wenig Aufwand komplette Zugangsdaten von Servern raustragen kann ist also Panikmache ? Das das ganze seit Monaten Aktiv genutzt wird (wo es ja so gar keinen Schaden machen kann) ist auch Panikmache ?
@FriedeFreudeEierkuchen: Passt irgendwie schon: laut heise hat das botnetz den Bug ausgenutzt, aber man weiß nicht was aus dem Speicher gedumpt wurde. Und es gab auch nur Hinweise auf einen möglichen Versuch.
Laut diesem Artikel ist es eben sehr schwer die SSL Keys zu bekommen. Anderen Speicherbereich kann man aber sehr wohl abgreifen. Die Frage, die aber bleibt: was gibt es den Interessanten in den angreifbaren Prozesse (z.B. Apache)?
Bitte den Titel verändern so, dass der auch bei RSS-Feeds angepasst wird.
Die Lücke ist so schlimm wie befürchtet. 2 Leute haben die Challenge geknackt!