Die Aufregung war groß, als die Sicherheitslücke CVE-2014-0160, genannt Heartbleed, am 7. April bekannt wurde. Nach Schätzungen von Experten sind oder waren bis zu 75% der Server im Internet betroffen.
Wieso?
Durch diesen Fehler in der Open Source Software OpenSSL war, und ist es zum Teil immer noch möglich, einen Teil des Arbeitsspeichers eines Servers, der diese Software verwendet, auszulesen und so die Anfragen anderer Benutzer zu sehen.
Diese Anfragen können auch den Benutzernamen und das Passwort beinhalten, die durch SSL eigentlich sicher übertragen werden sollen. Ein weiteres Problem ist zudem, dass man so auch an den privaten Schlüssel, also das Herzstück nahezu aller modernen Verschlüsselungen, kommen kann.
Der Bug, der diese Sicherheitslücke ausgelöst hat, steckt in einem Stück Code, das für einen sogenannten Heartbeat zuständig ist. Es handelt sich dabei um eine Methode um festzustellen, ob der Client, der sich mit einem durch SSL geschützten Webserver verbunden hat, immer noch aktiv ist oder man die Verbindung trennen kann. Wenn hier der Client jedoch eine besondere Antwort schickt, antwortet der Server mit bis zu 64 kbyte seines Hauptspeichers.
Betroffen waren unter anderem die Server großer Konzerne und stark frequentierte Webseiten wie yahoo.com, mail.de und sparkasse.at. Es ist also davon auszugehen, dass alle Logins seit Bekanntwerden der Lücke mitgelesen wurden. Bei Seiten, die keinen ECC-Algorithmus verwenden, ist es zudem möglich alle bisherigen Verbindungen, wenn diese aufgezeichnet wurden, zu entschlüsseln.
Auch meine Website war eine Zeit lang verwundbar, da mein Hoster Uberspace auch OpenSSL verwendet. Dieser hat jedoch vorbildlich mit umfangreicher Information reagiert.
Was jetzt?
Zunächst ist es jetzt wichtig zu wissen, ob ein Dienst den man verwendet für die Lücke anfällig ist oder war. Im Zweifel sollte man dazu den Betreiber kontaktieren. Wenn man nun festgestellt hat, dass dies so ist, sollte man umgehend das Passwort ändern. Wenn man das gleiche Passwort auch auf anderen Seiten verwendet, sollte es auch dort geändert werden.
Ich denke, dass OpenSSL nicht schlecht ist. Bis jetzt hat es gut funktioniert, es ist gratis und open source. Natürlich ist es immer möglich, dass sich Fehler einschleichen, aber das ist bei einem kommerziellen Produkt auch möglich.
Gerade weil es open source ist, war es überhaupt möglich die Lücke zu finden. Ich möchte lieber nicht wissen, wie viele derartiger Bugs sich in kommerzieller Software befinden, aber noch nicht gefunden wurden.
Weitere Informationen über die Lücke gibt es übrigens auf der eigens dafür eingerichteten Website.