Heartbleed: Hacker schnappt sich die SSL-Schlüssel von CloudFlare

Das ging schnell: Gestern noch lehnte man sich beim Content Distribution Network aus dem Fenster und relativierte – im eigenen Fall – den OpenSSL-Bug Heartbleed. Mir selber fällt kaum eine größere Internet-Katastrophe ein, doch bei CloudFlare war man sich sicher: so leicht ist das Abfischen privater SSL-Schlüssel auf keinem Fall.Heartbleed

Zu diesem Zweck richtete man sogar eine spezielle Seite ein und forderte Sicherheitsexperten auf, diese zu attackieren. Nur Stunden später meldete sich der erste Finder. Fedor Indutny gelang es, die privaten SSL-Schlüssel der speziellen Seite abzugreifen.

Mit den privatem Schlüsseln wären Angreifer auch nachträglich in der Lage, verschlüsselten Datenverkehr zu entschlüsseln, CloudFlares Aussage wurde in wenigen Stunden widerlegt und im Netz findet man Dutzende Beiträge, dass Angreifer schon seit längerem Daten ausspionieren.

Die NSA soll die Lücke gar bereits zwei Jahre ausnutzen – das würde einiges erklären, wie man in der Vergangenheit an die Daten kam. Das Schlimme: der Nutzer kann in diesem Fall nichts machen. Anbieter von Diensten fordern auf, Passwörter zu ändern, was definitiv richtig ist – unter Umständen befinden sich aber schon lange eure privaten Daten in den Händen anderer – ein Gedanke, bei dem mir schlecht wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. Christian M. says:

    @Perry3D: gegen Heartbleed bringen Hashes leider gar nichts. Den der Angriff erfolgt auf den Hauptspeicher von OpenSSL und dort liegen Daten, die der Client schickt, im Klartext. Und dazu gehören in den meisten Fällen auch Passwörter (= Text in Formularfeldern) und Session-Keys dazu.

  2. @Perry3D
    Hier geht es ausnahmsweise nicht um das Speichern der Passwörter, sondern um deren Übertragung. Aber das das könnte trotz der Verwendung von SSL natürlich sauber über Challenge-Response geregelt werden, macht aber keiner, weil man sich auf SSL verlassen hat.

    @Anon
    Da hast du noch etwas nicht verstanden: Passwörter neu vergeben bringt nur etwas, wenn (wie du schon sagst) OpenSSL gefixt wurde, UND die Zertifikate (die eventuell ja kompromittiert sind) ausgetauscht wurden. Des Weiteren ist in diesem Fall nicht von Haufen Zufälle zu reden, sondern von einer ganz realen Gefahr, bei der deine Zugangsdaten und übertragenen Daten gefährdet sind.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.