Heartbleed: Hacker schnappt sich die SSL-Schlüssel von CloudFlare
von caschy | 23 Kommentare
Das ging schnell: Gestern noch lehnte man sich beim Content Distribution Network aus dem Fenster und relativierte – im eigenen Fall – den OpenSSL-Bug Heartbleed. Mir selber fällt kaum eine größere Internet-Katastrophe ein, doch bei CloudFlare war man sich sicher: so leicht ist das Abfischen privater SSL-Schlüssel auf keinem Fall.
Zu diesem Zweck richtete man sogar eine spezielle Seite ein und forderte Sicherheitsexperten auf, diese zu attackieren. Nur Stunden später meldete sich der erste Finder. Fedor Indutny gelang es, die privaten SSL-Schlüssel der speziellen Seite abzugreifen.
Mit den privatem Schlüsseln wären Angreifer auch nachträglich in der Lage, verschlüsselten Datenverkehr zu entschlüsseln, CloudFlares Aussage wurde in wenigen Stunden widerlegt und im Netz findet man Dutzende Beiträge, dass Angreifer schon seit längerem Daten ausspionieren.
Die NSA soll die Lücke gar bereits zwei Jahre ausnutzen – das würde einiges erklären, wie man in der Vergangenheit an die Daten kam. Das Schlimme: der Nutzer kann in diesem Fall nichts machen. Anbieter von Diensten fordern auf, Passwörter zu ändern, was definitiv richtig ist – unter Umständen befinden sich aber schon lange eure privaten Daten in den Händen anderer – ein Gedanke, bei dem mir schlecht wird.
BREAKING: Heartbleed vulnerability can reliably extract SSL secret keys. Attack demonstrated by @indutny. https://t.co/kBSpSRLxHl
— EFF (@EFF) April 12, 2014
Wird geladen ...
Damit wäre das Internet dann richtig kaputt.
Das heißt dann, dass das ständige Gefasel von „Passwort ändern“ genau gar nichts bringt – hier muss der Anbieter unbedingt das bisherige Zertifikat aus dem Verkehr ziehen (ich fürchte, das werden sogar von den richtig großen viele nicht machen…).
Mir fällt dazu nichts mehr ein.
Vertrauen in diverse Unternehmen, hier schnell zu handeln, habe ich jedenfalls nicht.
Lieber spät als nie, aber später werde ich mal alle alten betroffenen Zertifikate löschen.
Würde dann wohl zusammen mit der NSA- Meldung bedeuten, dass die NSA die Schlüssel sämtlicher (relevanten, im genannten Zeitraum mit OpenSSL verwendeten) Zertifikate hat – GAU.
Etwas missverständlich…. Die Anbieter von Diensten (Serverbetreiber) fordern Nutzer auf, ihre Passwörter zu ändern, während sie selbst vorher natürlich(!) ihre Zertifikate ausgetauscht haben. Hoffentlich!
Einer der Hoster wo ich einen VPS in Betrieb habe bietet vorsorglich bereits den kostenfreien Austausch des SSL-Zertifikats an. Vorbildlich!
@micha Wer ist denn das?
Eins dürfte ja wohl jetzt klar sein. Wenn die NSA schon vor 2 Jahren von der Lücke wusste, ist sie für den seitdem durch Dritte entstandenen Schaden mitverantwortlich.
@Rico: 1blu
Gibt es eine „Status-Website“ wo man sehen kann ob ein einzelner Hoster/Webseite/Server zwischenzeitlich reagiert hat? Wie sieht es mit Online-Banking aus? Die PIN geht ja auch immer über die Leitung.
BOOM IN YOUR FACE!
@Dominik: So eine laufend aktualisierte „Status-Website“ gibt’s bei
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
Könnte Caschy vielleicht mal explizit drauf hinweisen. Allerdings sind dort eher die größeren amerikanischen / internationalen Dienste aufgelistet, aber die Tabelle ist sehr lesenswert. Sollte Pflichtlektüre für jeden Internetnutzer sein.
@Jo: Diese Tabelle deckt aber nur ab, ob die Anbieter verlauten lassen das Problem behoben zu haben. Damit meinen sie meistens die Installation des Updates von OpenSSL.
Aber wenn ich das richtig verstanden habe, besagt obige Meldung das eben auch die SSL-Zertifikate kompromittiert sein könnten. Dann müssen zwingend alle Dienste Ihre Zertifikate tauschen. Alles andere ist sinnlos und auch die Passwortänderung bietet nicht all zu viel Sicherheit, oder?
Selbst das Wechseln der Zertifikate verhindert nicht in jedem Fall, dass sich jemand mit den alten, noch gültigen Zertifikaten für die Seitenbetreiber ausgibt, weil das Revocation-System, soweit ich weiß, nach wie vor nicht wirklich funktioniert.
Das Problem der Zertifkatsverifikation ist damals durch Schaffung der CAs halt nicht wirklich gelöst, sondern nur verlagert worden.
Alle selber schuld!
Wer auch noch technikgläubig propagiert, persönliche Sachen in der Cloud zu lagern, wie es viele Techies und Blogger scheinbar tun, dem ist definitiv nicht zu helfen.
Meine Frau fragt gerade:
Also soll ich jetzt meine Passwörter ändern, so wie es überall empfohlen wird? Oder nicht?
Was meint Ihr?
Das ändern des PW bringt nur etwas, wenn die anfällige Seite a) gepatched wurde bzw. die OpenSSL-Version b) die neuen Schlüsselpaare damit erzeugt wurden und c) die Zertfikate damit neu generiert ( csr ) und ausgestellt wurden, sowie die alten revoked. Ansonsten änderst du dein pw und die böse Jungs können die Traffic trotzdem (aufgrund der alten keys / Zertis ) entschlüsseln und kommen an dein Zugangsdaten. Bei den großen Betreibern, die es gefixt haben, ist davon auszugehen, dass diese es auch korrekt gemacht haben. Bei Wald und Wiesen-Admin würde ich mich nicht darauf verlassen ( irgenwelche Communities etc )mW hat zB die Hypovereinsbank immer noch keine neuen Zertifikate nur, das openSSL gepatched.
Was sich die NSA leistet hat die Grenzen der Terrorismusbekämpfung definitiv hinter sich geassen und sie benimmt sich gesellschaftsfeindlich und damit kriminell. Wer traut sich als erster diese Organisation anzuklagen und vor ein internationales Gericht zu zerren?
@Yeti: OT…
Ich denke als Durchschnittsnutzer ist weniger Panik angebracht als derzeit gemacht wird. Im Endeffekt braucht es weiterhin einen riesigen Haufen Zufälle, bis wirklich das eigene Passwort geknackt werden kann. Zumindest alle Seiten, bei denen man selten vorbeischaut, sollten sicher sein, da kaum Informationen über einen im Speicher stecken werden. Und solange ich nicht von einer Seite erfahre, wo der Private Key schon vor Bekanntwerden des Bugs gehackt wurde, mach ich mir auch sonst wenig Sorgen.
Bei den wichtigsten Seiten habe ich trotzdem angefangen mal meine Passwörter (nach Fixen der OpenSSL-Version) zu ändern, aber auch nur weil ich das so oder so schon länger mal machen musste.
Ich hoffe die meisten Seiten haben es richtig gemacht und nur die Hashes der Passwörter gespeichert.