Heartbleed Sicherheitslücke könnte bereits ausgenutzt worden sein

Webserver und Programme sind von der Heartbleed-Sicherheitslücke betroffen, Millionen Nutzer müssen ihre Passwörter ersetzen und neue Software installieren. Es gibt einen ersten Hinweis, dass die Lücke womöglich bereits im vergangenen Jahr für einen Angriff genutzt wurde.

Von


Ein Fehler in einer weit verbreiteten Sicherheitssoftware hat Millionen Internetnutzer gefährdet. Seit Montag ist die Heartbleed-Lücke öffentlich bekannt, seitdem liefern sich kriminelle Hacker und Anbieter von Webdiensten ein Wettrennen: Während die Anbieter ihre Server reparieren und eine neue Version von OpenSSL installieren, versuchen Angreifer noch, sich Zugriff auf geheime Daten zu verschaffen.

Viele Anbieter tauschen nun ihre Sicherheitszertifikate aus. Damit Dienste, die über gesicherte Verbindungen Daten austauschen, wirklich wieder sicher sind, müssen die Nutzer zusätzlich ihre Passwörter ändern. Zu erkennen sind solche Dienste an dem "https" links oben in der Adresszeile des Browsers. Mehrere große Anbieter fordern ihre Nutzer bereits dazu auf.

Die Liste der Webserver, die noch von der Heartbleed-Lücke betroffen sind, wird offenbar ständig kürzer. Ursprünglich wurde geschätzt, dass zwei Drittel des Webs betroffen sein könnten. Am Freitag waren es nach verschiedenen Schätzungen noch mehrere tausend Server - und damit wenige Prozent.

Hinweis auf Ausnutzung der Lücke schon im November 2013

Noch ist unklar, ob die Heartbleed-Lücke von Angreifern ausgenutzt wurde, bevor sie am Montag öffentlich gemacht wurde. Durch die Art der Sicherheitslücke ist es schwer, einen Angriff nachzuweisen. Die US-Bürgerrechtsorganisation Electronic Frontier Foundation berichtet von einem möglichen Fall im vergangenen November: Von zwei IP-Adressen, die zu einem größeren Botnetz gehören sollen, sei eine verdächtige Abfrage erfolgt.

Das Botnetz soll sonst dazu dienen, Chatnetzwerke wie Freenode anzugreifen, wo sich unter anderem Aktivisten und Hacker treffen. Die Electronic Frontier Foundation mutmaßt, dass Geheimdienste daran eher ein Interesse haben könnten als Kriminelle. Bewiesen ist damit noch nichts. Klar ist aber: Durch die Heartbleed-Lücke lassen sich unter Umständen Verschlüsselungen umgehen, die wohl auch große Geheimdienste nicht knacken können.

Der Fehler in der OpenSSL-Software, um die sich rund ein Dutzend Entwickler kümmert, blieb offenbar zwei Jahre weitgehend unentdeckt. Ein Programmierer aus Deutschland hatte damals Änderungen vorgeschlagen, die von den Entwicklern übernommen wurden. Ein Google-Entwickler und drei Mitarbeiter der Firma Codenomicon haben die Sicherheitslücke am Montag öffentlich gemacht.

Vorher hatten sie angefangen, große Firmen vertraulich zu informieren, darunter Facebook und CloudFlare. Die Angst war offenbar groß, dass kriminelle Hacker an die Information gelangen könnten. Der Kreis der Eingeweihten sollte deshalb klein gehalten werden. Noch bevor alle großen Unternehmen oder auch nur alle Abteilungen von Google eingeweiht werden konnte, berichtet "The Verge", bekamen die Entdecker von Heartbleed Angst, die Information könnte durchgesickert sein - und gingen an die Öffentlichkeit.

Android und Linux betroffen

Nicht nur Webserver sind betroffen, sondern auch Software, die Internetdaten mit Hilfe von OpenSSL verschlüsselt. Darunter ist das Handy-Betriebssystem Android. Die Version 4.1.1 ist unsicher. Hier müssen Nutzer darauf hoffen, dass die Hersteller schnell Updates bereitstellen.

Auch Netzwerk-Programme wie zum Beispiel bestimmte VPN-Clients von Cisco und Juniper haben die Heartbleed-Lücke. VPN steht für Virtual Private Network. Solche Dienste werden etwa von Unternehmen genutzt, deren Mitarbeiter von außen über eine sichere Verbindung auf das Firmennetzwerk zugreifen wollen. Cisco und Juniper listen auf ihren Seiten Dutzende betroffene Programme auf und stellen Updates in Aussicht. Ebenso betroffen sind die auch von Privatnutzern frequentierten Dienste OpenVPN und Tunnelblick.

Die Betriebssysteme von Microsoft und Apple sind nicht direkt von der OpenSSL-Lücke betroffen. Hier kommt es aber auf die Software an, die Nutzer zusätzlich installiert haben und die womöglich OpenSSL einsetzt, wie die bereits genannten VPN-Clients. Anders sieht es bei Linux aus, wo OpenSSL ins Betriebssystem integriert ist. für viele Distributionen gibt es bereits Updates, darunter CentOS, Debian, Fedora, Red Hat, OpenSuse und Ubuntu.

insgesamt 14 Beiträge
Alle Kommentare öffnen
Seite 1
rekast 11.04.2014
1.
bitte nicht so! Das Partizip II lautet "ausgenutzt". da dreht sich einem alles um
sikasuu 11.04.2014
2. Unterschied zw. open-source <=> closed source
open source: Nachschauen ob das OS betroffen ist. Der Patch ist bekannt, Stelle suchen "patchen" den Teil neu kompilieren oder make world..... Gegebenenfals noch Certifikate austauschen. Passt! ### closed source: Hier Android (zwar Linux basiert aber doch nicht frei) warten, warten, warten, Mist der Hersteller bring für dieses 1 Jahr alte Teil KEIN Update. wegwerfen:-((
ich_bin_der_martin 11.04.2014
3. Es gibt solche und solche...
Man darf es wohl vermuten, das sich mancher Programmierer von beide Seiten bezahlen lässt. Grade die Sicherheits-Software ist empfindlich für gewollt eingebaute Lücken. Die Kommentare im Quelltext deuten auf eine langweilige Routine. Dort wird gerne das versteckt was dem Programmierer eine "goldene Nase" beschert ;) Dann sagen sie: "Uuuppss, Fehler machen ist schließlich menschlich!" Denen, die ins Gefängniss gehören geschieht jedoch meißt nichts...
_freidenker_ 11.04.2014
4. Cm
Zitat von sikasuuopen source: Nachschauen ob das OS betroffen ist. Der Patch ist bekannt, Stelle suchen "patchen" den Teil neu kompilieren oder make world..... Gegebenenfals noch Certifikate austauschen. Passt! ### closed source: Hier Android (zwar Linux basiert aber doch nicht frei) warten, warten, warten, Mist der Hersteller bring für dieses 1 Jahr alte Teil KEIN Update. wegwerfen:-((
Oder ein Cyanogen-, oder beliebiges anderes Mod einsetzen. Wobei das natürlich nichts für den Durchschnittsanwender ist.
toxit 11.04.2014
5. Hmmm
Verstehe ich das richtig ? MS ist nicht direkt betroffen ? Hat da einer einen Fehler gemacht ?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.