Verschlüsselung

Heartbleed Résumé: Status Quo des SSL-Super-GAUs

20. November 2014
  • Verschlüsselung

© estt - istockphoto

Als OpenSSL Anfang April eine Mitteilung zu einer Sicherheitslücke herausgab, waren sich Experten einig: Das ist der Super-GAU! Wir richteten seinerzeit eine Notfall-Hotline ein und einschlägige Medien haben empfohlen, Updates so schnell wie möglich durchzuführen und anschließend dazu aufzurufen, dass User ihre Passwörter ändern. Heartbleed, so wurde die Sicherheitslücke genannt, liegt nun über ein halbes Jahr zurück – wurden die Warnungen der Medien und Experten erhört und beachtet? Wir prüfen den Status Quo.

Heartbleed: stagnierende Update-Bereitschaft

Robert Graham von Errata Security hat kurz nach Bekanntwerden der Sicherheitslücke in OpenSSL knappe 30 Millionen Systeme im öffentlichen Netz gescannt: Mehr als 600.000 der Systeme, die auf Port 443 geantwortet haben, waren verwundbar. OpenSSL ist eine extrem populäre Client-Software mit einem Marktanteil von 66 Prozent (Netcraft-Studie), und so sind diese Zahlen wenig verwunderlich: 17,5 Prozent aller SSL-Seiten und zirka eine halbe Million Zertifikate von vertrauenswürdigen CAs waren betroffen. Der Studie „The Matter of Heartbleed“ (PDF) konnten wir folgende Zahlen entnehmen: Für diese Studie wurden die populärsten HTTPS-Websites und der komplette IPv4-Adressraum gescannt. Um die populärsten Seiten zu finden, setzte das Team auf die Top 100 des Alexa-Rankings. Zwei Tage nachdem Heartbleed bekannt wurde, scannte das Team erneut und beobachtete, dass elf Prozent der Top 1 Million-HTTPS-Websites im Alexa-Ranking und sechs Prozent sämtlicher HTTPS-Server im öffentlichen IPv4-Adressraum angreifbar sind. Auch das Tor-Netzwerk war stark betroffen: Über die Hälfte sämtlicher Tor-Knoten waren in den Tagen nach Veröffentlichung der Sicherheitslücke anfällig.

Innerhalb der ersten 24 Stunden nach Bekanntgabe der schwersten Sicherheitslücke in 16 Jahren OpenSSL wurden alle außer fünf der Alexa Top 100-Websites gepatcht; innerhalb von 48 Stunden waren es sämtliche gefährdete Hosts in der Top 500-Liste. Nach etwa zwei Wochen intensivster Berichterstattung und Patch-Aktivität kamen die Updates allerdings zum Erliegen: Die Patch-Zahlen stagnierten und so sind rund drei Prozent der Alexa Top 1 Million-HTTPS-Sites auch zwei Monate nach Bekanntwerden noch nicht aktualisiert worden.

Zertifikattausch nach Heartbleed

Aufgrund der Möglichkeit, dass private Schlüssel durch die Heartbleed-Lücke abgefangen werden können, wurden in den ersten Wochen nach Heartbleed auch zahlreiche SSL-Zertifikate ausgetauscht: Gemäß der Studie „The Matter of Heartbleed“ haben die populärsten Websites sehr schnell reagiert. Auch hier kam der Austausch, den wir für unsere Kunden kostenfrei anbieten, mit der Zeit zum Erliegen: Eine Woche nach Bekanntwerden der Sicherheitslücke hatte weniger als ein Drittel der Alexa Top 1 Million-Websites ihre Zertifikate ausgetauscht. Das sind alarmierende Zahlen, noch beunruhigender allerdings ist, dass nur zehn Prozent dieser Websites ihre SSL-Zertifikate innerhalb des darauffolgenden Monats ausgetauscht haben und von diesen zehn Prozent haben 14 Prozent nicht ihren privaten Schlüssel geändert. Bedeutet: Auf diesen Webseiten bringt das ausgetauschte Zertifikat gar nichts.

Diese populären Seiten waren betroffen

Aufgrund der immensen Verbreitung von OpenSSL waren weder große noch kleine Seiten vor Angriffen geschützt. Im Folgenden erhalten Sie eine Zusammenstellung populärer Websites, die betroffen waren, inklusive der Information, ob Sie hier Ihr Passwort ändern sollten:

  • Facebook: Der Social Media-Riese hatte bereits vor dem offiziellen Bekanntwerden von Heartbleed Sicherheitsvorkehrungen getroffen, empfiehlt seinen Nutzern aber, das Passwort zu ändern.
  • Instagram: Der mobile Fotoservice war betroffen und patchte sehr zügig. Nutzern wurde empfohlen, das Passwort zu ändern.
  • Pinterest: Das Social Network war betroffen, konnte aber keinen Angriff feststellen. Pinterest sendete eine E-Mail an seine Nutzer mit der Bitte, dass Passwörter geändert werden sollen.
  • Tumblr: Auch Tumblr sagte aus, betroffen zu sein, aber keinen Angriff festgestellt zu haben. Nutzern wurde nahegelegt, dennoch zügig das Passwort zu ändern; gepatcht hat der Dienst ebenfalls zügig.
  • Twitter: Auch der 140-Zeichen-Dienst nutzt OpenSSL, war aber nach eigenen Aussagen nicht von der Sicherheitslücke betroffen. Ob User ihr Passwort erneuern sollten, ist unklar – und im Zweifel ist das Erneuern des Passworts immer ratsam.
  • Google: Auch der Suchmaschinenriese Google war betroffen und spielte die Patches ein, sobald sie verfügbar waren. Konkret waren es die Services Google Suche, Gmail, YouTube, Wallet, Play, Apps und die App Engine; Chrome und Chrome OS waren nicht betroffen. Zwar äußerte Google, dass es nicht nötig sei, dass User ihre Passwörter ändern, allerdings gilt auch hier: Lieber einmal mehr austauschen als Gefahr zu laufen, kompromittiert zu werden.
  • Yahoo: Yahoo erklärte, man habe schnellstmöglich die Dienste Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr und Tumblr gepatcht; die restlichen Yahoo-Services kamen direkt danach. Yahoo hat empfohlen, bei all diesen Diensten die Passwörter zu wechseln.
  • Amazon: Amazon.com (bzw. .de) war nicht betroffen, wohl aber die Amazon Web Services. Elastic Load Balancing, Amazon EC2, Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, AWS OpsWorks, AWS Elastic Beanstalk und Amazon CloudFront sind gepatcht; Nutzern wird ein Passwort-Wechsel empfohlen.
  • Netflix: Auch der Video-Streaming-Dienst Netflix, der mittlerweile auch hierzulande sein Angebot offeriert, war betroffen. Nutzern wurde empfohlen, ihr Passwort zu wechseln.
  • SoundCloud: Zwar konnte der Musik-Streaming-Dienst keine Angriffe feststellen, nutzt aber OpenSSL, hat gepatcht und empfiehlt, die Passwörter zu wechseln.
  • Box: Der Cloud-Dienst Box hat sein SSL-Zertifikat schnellstmöglich ausgetauscht, gepatcht und seine Kunden informiert, damit diese ihr Passwort wechseln.
  • Dropbox: Auf Twitter informierte der Cloud-Service über seinen Patch; Nutzern wurde ein Passwort-Wechsel nahegelegt.
  • GitHub: GitHub erklärte, dass die Patches auf alle Systeme aufgespielt und die SSL-Zertifikate ausgetauscht wurden. Nutzern wurde empfohlen, die Zwei-Faktor-Authentifizierung zu nutzen und das Passwort zu ändern.
  • Wikipedia: Die Online-Enzyklopädie reagierte zügig, patchte und legte seinen angemeldeten Nutzern in einem Statement nahe, Passwörter schnellstmöglich auszutauschen.
  • WordPress: Die Macher der Blogsoftware bestätigten, von der Lücke betroffen zu sein, patchten die Server binnen weniger Stunden und raten Nutzern, das Passwort auszutauschen, halten es aber nicht für zwingend notwendig.
  • Wunderlist: Auch der Service Wunderlist war betroffen und rief dazu auf, Passwörter unbedingt zu wechseln.

Erfolgreiche Angriffe durch Heartbleed

Die OpenSSL-Sicherheitslücke Heartbleed wurde zwar erst im April 2014 bekannt, schlummerte davor allerdings zwei Jahre unbemerkt vor sich hin. Es wurde orakelt, ob Geheimdienste und/ oder Hacker die Sicherheitslücke schon vorher ausgenutzt hätten – nein, antwortete darauf die Studie „The Matter of Heartbleed“. Die ersten Scans nach verwundbaren Servern begannen spätestens 22 Stunden nach Bekanntwerden von Heartbleed. Um zu erfahren, ob die Lücke bereits vorher ausgenutzt wurde, untersuchten die Forscher Datenpakete, die zwischen November 2013 und April 2014 aufgezeichnet wurden. In diesen Datenpaketen habe man keine Angriffe auf Server feststellen können, die über die Heartlbeed-Lücke stattgefunden hätten, allerdings geben die Forscher zu bedenken, dass man nicht den kompletten Zeitraum erfasst hätte.

Nach dem Bekanntwerden von Heartbleed allerdings vergingen lediglich 21 Stunden und 29 Minuten bis zum ersten nachweisbaren Angriff: Unbekannte haben im Web nach verwundbaren Servern gesucht, die meisten der Top 10.000-Websites im Alexa-Ranking hatten bereits gepatcht. Einen der größten Angriffe durch Heartbleed gelang einem 19-Jährigen Kanadier: Binnen sechs Stunden entwendete er die Sozialversicherungsnummern von 900 Personen beim kanadischen Finanzamt.

Heartbleed ist noch nicht vorüber

Wenn man sich nun überlegt, dass aktuellere Zahlen ähnlich erschreckend sind, wird schnell klar, dass noch immer akuter Handlungsbedarf besteht: Am 21. Juni veröffentlichte Errata Security neue Zahlen. Wieder wurde auf Port 443 (keine anderen Ports!) gescannt und noch immer wurden 309.197 Systeme als anfällig eingestuft. Nun kann das Team von Errata nicht sämtliche Systeme prüfen, da das Tool „Masscan“, das für die Scans verwendet wurde, von diversen Firewalls entdeckt wird. So haben beim ersten Scan noch 28 Millionen Systeme auf die SSL-Anfragen geantwortet, beim dritten zwei Monate später nur noch 22 Millionen. Dennoch ist hier ein Trend erkennbar und die tatsächliche Anzahl betroffener Server kann noch weit über diesen Zahlen liegen. Das Scan-Tool nimmt lediglich Verbindungen mit einer IP-Adresse auf; insbesondere bei kleineren Web-Projekten, die über fremde Rechenzentren gehostet werden, können hinter der einen gescannten IP-Adresse noch diverse Online-Präsenzen liegen. Ende Juli kam der Venafi Labs Vulnerability-Report zu dem Schluss, dass lediglich 387 Sites der Global-Top-2000 sämtliche Vorkehrungen gegen die Heartbleed-Lücke getroffen haben.

Noch immer reißt die Gefahr durch Heartbleed nicht ab: Anfang November fand die Internet Measurement Conference in Vancouver statt, an der unter anderem Forscher der Universität von Maryland anwesend waren. Nach eigenen Studien sehen die Forscher das Hauptproblem der Patch-Müdigkeit darin, dass viele zwar die Notwendigkeit des Patches erfasst haben, jedoch die Zertifikate nicht ausgetauscht wurden. Was folgt daraus? Systemadmins sind der Meinung, sie haben das Problem behoben, allerdings bleibt das Ausnutzen von Heartbleed immer noch sehr wahrscheinlich. Weiter stellten die Forscher in ihren Untersuchungen fest, dass die Patch-Aktivitäten an den Wochenenden deutlich gesunken sind.

Heartbleed: akuter Handlungsbedarf nach erster Patchwelle

Aus den Augen, aus dem Sinn? Es scheint fast so, denn die Zahlen noch immer betroffener Server und nie ausgetauschter privater Schlüssel und/ oder Zertifikate sind erschreckend! OpenSSL stellte sehr zeitnah Patches bereit, zahlreiche Unternehmen boten an, Zertifikate kostenfrei oder gegen Entgelt auszutauschen und nach dem ersten Run auf die Patches und Zertifikate stagnierte die Anzahl derer, die handelten. Zwei Monate nach Heartbleed berichteten die Medien noch, mittlerweile, sieben Monate später, hat auch die Berichterstattung stark abgenommen. Es gibt diverse Tools, mit denen Sie testen können, ob auch Ihr Server anfällig für Heartbleed ist: filippo.io/Heartbleed und possible.lv/tools/hb waren die ersten beiden Tools dieser Art. Mit dem Go-Script Heartbleed können Sie lokal testen und Mail-Server mit starttls überprüfen Sie mit dem Perl-Skript check-ssl-heartbleed.pl. Testmodule existieren auch für Nmap, Metasploit, OpenVAS sowie Nessus. Anfang November publizierte Google mit Nogotofail ein Tool, mit den Sie Router auf Heartbleed testen.

Möchten Sie sich die Unterstützung unserer Security-Experten sichern, sprechen Sie gerne mit unserem Support – wir antworten auf Ihre Fragen und treiben das Beseitigen von Heartbleed mit Ihnen voran!



0 Kommentar(e)

Schreibe einen Kommentar