Der Heartbleed-Bug im OpenSSL-System hat nun für Schlagzeilen gesorgt, genauso wie für zahlreiche offene Systeme. Woher der Heartbleed-Bug kommt und wie man sicher gehen kann, dass Server den Patch beinhalten, steht hier.
Was geschah? Am 08. April 2014 wurde öffentlich bekannt gegeben, dass es eine angreifbare Stelle in der aktuellen Implementation von OpenSSL gibt. Somit sind mehr oder weniger alle Linux-Systeme verwundbar, denn OpenSSL ist meistens überall installiert und aktiv, z.B.: Shops mit sicherem Einkauf, Email-Empfang etc.
Auswertungen zeigen, dass zwei Drittel aller https-Websites mit OpenSSL verschlüsselt übertragen werden. Auch Banken und andere sicherheitsrelevante Server sichern die Kommunikation mit OpenSSL.
Der Heartbleed-Bug auf den Servern ist schwerwiegend. Er eröffnet Hackern im Internet auf den betroffenen Servern den Zugang zum Speicher des Servers. Angreifer können also Befehle absetzen, die jeweils bis zu 64kb in einem Rutsch aus dem Speicher zurück schicken. Das Schlimme daran, die Abfragen werden nicht einmal dabei protokolliert und der Angriff bleibt in der Regel unsichtbar!
Besonders schlimm ist es, dass die Server im Speicher alle jene Dinge ablgen, die die Öffentlichkeit nicht sehen soll, wie z.B.: Passwörter, SSL-Zertifikate und etliches mehr.
Wenn du einen Rootserver betreibst, tust du gut daran, die Zertifikate umgehend zu tauschen und alle User mit neuen Passwörtern zu versehen, wenn das Leck offen war. Sonst brauchst du kein SSL mehr, denn mit Zertifikaten vom Server kann die künftige Kommunikation auch entschlüsselt werden.
Von dem Bug betroffen waren zahlreiche Banken und große Anbieter wie auch Domain-Registries und andere systemrelevante Dienste im Web – und sind es immer noch. Dann nämlich, wenn Zertifikate nicht getauscht wurden und die OpenSSL-Variante nicht angepasst wurde. Patches sind verfügbar, aber noch nicht überall eingespielt.
Hier kannst du deinen Server testen: Heartbleed-Test