Heartbleed: Hacker schnappt sich die SSL-Schlüssel von CloudFlare
Das ging schnell: Gestern noch lehnte man sich beim Content Distribution Network aus dem Fenster und relativierte – im eigenen Fall – den OpenSSL-Bug Heartbleed. Mir selber fällt kaum eine größere Internet-Katastrophe ein, doch bei CloudFlare war man sich sicher: so leicht ist das Abfischen privater SSL-Schlüssel auf keinem Fall.
Zu diesem Zweck richtete man sogar eine spezielle Seite ein und forderte Sicherheitsexperten auf, diese zu attackieren. Nur Stunden später meldete sich der erste Finder. Fedor Indutny gelang es, die privaten SSL-Schlüssel der speziellen Seite abzugreifen.
Mit den privatem Schlüsseln wären Angreifer auch nachträglich in der Lage, verschlüsselten Datenverkehr zu entschlüsseln, CloudFlares Aussage wurde in wenigen Stunden widerlegt und im Netz findet man Dutzende Beiträge, dass Angreifer schon seit längerem Daten ausspionieren.
Die NSA soll die Lücke gar bereits zwei Jahre ausnutzen – das würde einiges erklären, wie man in der Vergangenheit an die Daten kam. Das Schlimme: der Nutzer kann in diesem Fall nichts machen. Anbieter von Diensten fordern auf, Passwörter zu ändern, was definitiv richtig ist – unter Umständen befinden sich aber schon lange eure privaten Daten in den Händen anderer – ein Gedanke, bei dem mir schlecht wird.
BREAKING: Heartbleed vulnerability can reliably extract SSL secret keys. Attack demonstrated by @indutny. https://t.co/kBSpSRLxHl
— EFF (@EFF) April 12, 2014
@Perry3D: gegen Heartbleed bringen Hashes leider gar nichts. Den der Angriff erfolgt auf den Hauptspeicher von OpenSSL und dort liegen Daten, die der Client schickt, im Klartext. Und dazu gehören in den meisten Fällen auch Passwörter (= Text in Formularfeldern) und Session-Keys dazu.
@Perry3D
Hier geht es ausnahmsweise nicht um das Speichern der Passwörter, sondern um deren Übertragung. Aber das das könnte trotz der Verwendung von SSL natürlich sauber über Challenge-Response geregelt werden, macht aber keiner, weil man sich auf SSL verlassen hat.
@Anon
Da hast du noch etwas nicht verstanden: Passwörter neu vergeben bringt nur etwas, wenn (wie du schon sagst) OpenSSL gefixt wurde, UND die Zertifikate (die eventuell ja kompromittiert sind) ausgetauscht wurden. Des Weiteren ist in diesem Fall nicht von Haufen Zufälle zu reden, sondern von einer ganz realen Gefahr, bei der deine Zugangsdaten und übertragenen Daten gefährdet sind.