Heartbleed-Bug: Größter Sicherheits-SuperGAU seit es das Internet gibt
Der Hearbleed-Bug erlaubt es Hackern den Private Key von Webseiten auszulesen. Alle Webseiten die OpenSSL verwenden müssen also ihre Schlüsselpaare austauschen – zusätzlich zu einem Patch für OpenSSL. Außerdem dementiert die NSA von dem Bug schon seit Jahren zu wissen. Wir glauben dem Geheimdienst aber erst einmal nichts.
Der Heartbleed-Bug von OpenSSL macht Webseiten nicht nur für Nutzer unsicher, sondern erlaubt offenbar auch den Diebstahl des Private Keys der jeweiligen Webseiten. Selbst nach einem Patch, der den Heartbleed-Bug selbst entfernt, sind die betroffenen Webseiten noch nicht sicher. Es gibt nämlich keine zuverlässige Methode um festzustellen, ob der Private Key der Seite bereits entwendet wurde.
Linktipp – Heartbleed-Bug: Auch Router betroffen
Mit dem Private Key kann ein Hacker jedoch auch ohne den Bug die Nutzdaten der Seiten-Besucher auslesen. Er muss nur seine eigene Webseite aufsetzen, sie wie das Vorbild gestalten und den entsprechenden Private Key zur Identifizierung der Seite verwenden. Der Unterschied zwischen der echten und der falschen Webseite ist auf den ersten Blick kaum feststellbar. Außerdem kann ein Hacker die Daten zwischen dem Anwender und der Webseite abfangen und entschlüsseln.
Der Sicherheitsdienst Cloudfare stieß gestern auf diese Lücke und rief Hacker dazu auf, den Private Key eines eigens aufgesetzten Servers, der mit mit OpenSSL und dem Heartbleed-Bug versehen wurde, auszulesen. Innerhalb eines Tages konnten vier verschiedene Hacker diesen Key in ihren Besitz bringen. Die Webseiten-Betreiber müssen also nicht nur den Heartbleed-Bug aus OpenSSL entfernen, sondern auch ihre Schlüsselpaare austauschen.
Linktipp – Heartbleed-Bug: Diese Passwörter müsst ihr ändern
Wusste die NSA von dieser Sicherheitslücke?
Am Wochenende machte außerdem das Gerücht die Runde, dass die NSA beinahe von Anfang an vom Heartbleed-Bug wusste und ihn nutzte, um ihre eigenen Zeile umsetzen zu können. Der Geheimdienst dementierte dies: Angeblich habe er auch erst im April von diesem Bug erfahren und ihn nicht genutzt. Angesichts der Datensammelwut der NSA, der Sabotage von Verschlüsselungsstandards und den Geheimgerichtsurteilen die Unternehmen zwingen die Daten ihre Nutzer an den Geheimdienst weiterzugeben, ist eine Aussage der NSA in diesem Kontext nicht das Papier wert auf dem sie geschrieben steht.
Kommentar
Die Möglichkeit, dass der Private Key einer Webseite ausgelesen werden kann, ist der sicherheitstechnsiche SuperGAU. Der Heartbleed-Bug kann damit als einer der größten, wenn nicht sogar die größte Sicherheitslücke, gelten, die es in den letzten 20 Jahren gab. Denn damit kann nicht nur die Kommunikation zwischen Webseite und Nutzer ausgelesen werden. Ein böswilliger Hacker oder ein Geheimdienst kann sogar die Identität der Seite übernehmen.
Die Verwicklung der NSA in diese Sache wird zwar dementiert, ist aber nicht von der Hand zu weisen. Die Regierung Obamas sprang der NSA zu Seite und veröffentlichte im Zusammenhang des Dementis die Handlungsrichtlinie der NSA für solche Fälle. Sie besagt, dass Sicherheitslücken an die zuständigen Unternehmen gemeldet werden sollen. Allerdings macht sie eine Ausnahme, sobald die nationale Sicherheit der USA betroffen sei. Damit ist die Handlungsrichtlinie bedeutungslos.