Heartbleed: Hacker schnappt sich die SSL-Schlüssel von CloudFlare

Das ging schnell: Gestern noch lehnte man sich beim Content Distribution Network aus dem Fenster und relativierte – im eigenen Fall – den OpenSSL-Bug Heartbleed. Mir selber fällt kaum eine größere Internet-Katastrophe ein, doch bei CloudFlare war man sich sicher: so leicht ist das Abfischen privater SSL-Schlüssel auf keinem Fall.Heartbleed

Zu diesem Zweck richtete man sogar eine spezielle Seite ein und forderte Sicherheitsexperten auf, diese zu attackieren. Nur Stunden später meldete sich der erste Finder. Fedor Indutny gelang es, die privaten SSL-Schlüssel der speziellen Seite abzugreifen.

Mit den privatem Schlüsseln wären Angreifer auch nachträglich in der Lage, verschlüsselten Datenverkehr zu entschlüsseln, CloudFlares Aussage wurde in wenigen Stunden widerlegt und im Netz findet man Dutzende Beiträge, dass Angreifer schon seit längerem Daten ausspionieren.

Die NSA soll die Lücke gar bereits zwei Jahre ausnutzen – das würde einiges erklären, wie man in der Vergangenheit an die Daten kam. Das Schlimme: der Nutzer kann in diesem Fall nichts machen. Anbieter von Diensten fordern auf, Passwörter zu ändern, was definitiv richtig ist – unter Umständen befinden sich aber schon lange eure privaten Daten in den Händen anderer – ein Gedanke, bei dem mir schlecht wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. Damit wäre das Internet dann richtig kaputt.

  2. Das heißt dann, dass das ständige Gefasel von „Passwort ändern“ genau gar nichts bringt – hier muss der Anbieter unbedingt das bisherige Zertifikat aus dem Verkehr ziehen (ich fürchte, das werden sogar von den richtig großen viele nicht machen…).

  3. Mir fällt dazu nichts mehr ein.
    Vertrauen in diverse Unternehmen, hier schnell zu handeln, habe ich jedenfalls nicht.
    Lieber spät als nie, aber später werde ich mal alle alten betroffenen Zertifikate löschen.

  4. Würde dann wohl zusammen mit der NSA- Meldung bedeuten, dass die NSA die Schlüssel sämtlicher (relevanten, im genannten Zeitraum mit OpenSSL verwendeten) Zertifikate hat – GAU.

  5. Etwas missverständlich…. Die Anbieter von Diensten (Serverbetreiber) fordern Nutzer auf, ihre Passwörter zu ändern, während sie selbst vorher natürlich(!) ihre Zertifikate ausgetauscht haben. Hoffentlich!

  6. Einer der Hoster wo ich einen VPS in Betrieb habe bietet vorsorglich bereits den kostenfreien Austausch des SSL-Zertifikats an. Vorbildlich!

  7. @micha Wer ist denn das?

  8. siliconectar says:

    Eins dürfte ja wohl jetzt klar sein. Wenn die NSA schon vor 2 Jahren von der Lücke wusste, ist sie für den seitdem durch Dritte entstandenen Schaden mitverantwortlich.

  9. Gibt es eine „Status-Website“ wo man sehen kann ob ein einzelner Hoster/Webseite/Server zwischenzeitlich reagiert hat? Wie sieht es mit Online-Banking aus? Die PIN geht ja auch immer über die Leitung.

  10. BOOM IN YOUR FACE!

  11. @Dominik: So eine laufend aktualisierte „Status-Website“ gibt’s bei

    http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

    Könnte Caschy vielleicht mal explizit drauf hinweisen. Allerdings sind dort eher die größeren amerikanischen / internationalen Dienste aufgelistet, aber die Tabelle ist sehr lesenswert. Sollte Pflichtlektüre für jeden Internetnutzer sein.

  12. @Jo: Diese Tabelle deckt aber nur ab, ob die Anbieter verlauten lassen das Problem behoben zu haben. Damit meinen sie meistens die Installation des Updates von OpenSSL.

    Aber wenn ich das richtig verstanden habe, besagt obige Meldung das eben auch die SSL-Zertifikate kompromittiert sein könnten. Dann müssen zwingend alle Dienste Ihre Zertifikate tauschen. Alles andere ist sinnlos und auch die Passwortänderung bietet nicht all zu viel Sicherheit, oder?

  13. Selbst das Wechseln der Zertifikate verhindert nicht in jedem Fall, dass sich jemand mit den alten, noch gültigen Zertifikaten für die Seitenbetreiber ausgibt, weil das Revocation-System, soweit ich weiß, nach wie vor nicht wirklich funktioniert.
    Das Problem der Zertifkatsverifikation ist damals durch Schaffung der CAs halt nicht wirklich gelöst, sondern nur verlagert worden.

  14. Alle selber schuld!
    Wer auch noch technikgläubig propagiert, persönliche Sachen in der Cloud zu lagern, wie es viele Techies und Blogger scheinbar tun, dem ist definitiv nicht zu helfen.

  15. Meine Frau fragt gerade:

    Also soll ich jetzt meine Passwörter ändern, so wie es überall empfohlen wird? Oder nicht?

    Was meint Ihr?

  16. Christian K. says:

    Das ändern des PW bringt nur etwas, wenn die anfällige Seite a) gepatched wurde bzw. die OpenSSL-Version b) die neuen Schlüsselpaare damit erzeugt wurden und c) die Zertfikate damit neu generiert ( csr ) und ausgestellt wurden, sowie die alten revoked. Ansonsten änderst du dein pw und die böse Jungs können die Traffic trotzdem (aufgrund der alten keys / Zertis ) entschlüsseln und kommen an dein Zugangsdaten. Bei den großen Betreibern, die es gefixt haben, ist davon auszugehen, dass diese es auch korrekt gemacht haben. Bei Wald und Wiesen-Admin würde ich mich nicht darauf verlassen ( irgenwelche Communities etc )mW hat zB die Hypovereinsbank immer noch keine neuen Zertifikate nur, das openSSL gepatched.

  17. Was sich die NSA leistet hat die Grenzen der Terrorismusbekämpfung definitiv hinter sich geassen und sie benimmt sich gesellschaftsfeindlich und damit kriminell. Wer traut sich als erster diese Organisation anzuklagen und vor ein internationales Gericht zu zerren?

  18. @Yeti: OT…

    Ich denke als Durchschnittsnutzer ist weniger Panik angebracht als derzeit gemacht wird. Im Endeffekt braucht es weiterhin einen riesigen Haufen Zufälle, bis wirklich das eigene Passwort geknackt werden kann. Zumindest alle Seiten, bei denen man selten vorbeischaut, sollten sicher sein, da kaum Informationen über einen im Speicher stecken werden. Und solange ich nicht von einer Seite erfahre, wo der Private Key schon vor Bekanntwerden des Bugs gehackt wurde, mach ich mir auch sonst wenig Sorgen.

    Bei den wichtigsten Seiten habe ich trotzdem angefangen mal meine Passwörter (nach Fixen der OpenSSL-Version) zu ändern, aber auch nur weil ich das so oder so schon länger mal machen musste.

  19. Ich hoffe die meisten Seiten haben es richtig gemacht und nur die Hashes der Passwörter gespeichert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.