Video: SSL in 2:48 Minuten verstehen (Dezember 2024)
SSL, kurz für Secure Sockets Layer, setzt das S in HTTPS um. Erfahrene Benutzer müssen in der Adressleiste nach HTTPS suchen, bevor sie vertrauliche Informationen auf einer Website eingeben. In unseren SecurityWatch-Posts werden häufig Android-Apps gezüchtigt, die persönliche Daten ohne Verwendung von SSL übertragen. Leider können Angreifer durch den kürzlich entdeckten "Heartbleed" -Bug SSL-geschützte Kommunikation abfangen.
Der Fehler heißt Heartbleed, da er sich auf eine Funktion mit dem Namen Heartbeat bezieht und sich auf bestimmte Versionen der weit verbreiteten OpenSSL-Verschlüsselungsbibliothek auswirkt. Laut der Website, die für die Berichterstattung über Heartbleed erstellt wurde, liegt der gemeinsame Marktanteil der beiden größten Open-Source-Webserver, die OpenSSL verwenden, bei mehr als 66 Prozent. OpenSSL wird auch zum Sichern von E-Mails, Chatservern, VPNs und "einer Vielzahl von Client-Software" verwendet. Es ist überall.
Es ist schlimm, wirklich schlimm
Ein Angreifer, der diesen Fehler ausnutzt, kann Daten lesen, die im Speicher des betroffenen Servers gespeichert sind, einschließlich der wichtigsten Verschlüsselungsschlüssel. Die Namen und Passwörter der Benutzer und die Gesamtheit der verschlüsselten Inhalte können ebenfalls erfasst werden. Laut der Website "können Angreifer auf diese Weise die Kommunikation abhören, Daten direkt von den Diensten und Benutzern stehlen und sich als Dienste und Benutzer ausgeben."
Die Site stellt weiterhin fest, dass das Erfassen von geheimen Schlüsseln "es dem Angreifer ermöglicht, vergangenen und zukünftigen Datenverkehr zu den geschützten Diensten zu entschlüsseln". Die einzige Lösung besteht darin, auf die neueste Version von OpenSSL zu aktualisieren, die gestohlenen Schlüssel zu widerrufen und neue Schlüssel auszugeben. Auch dann, wenn der Angreifer in der Vergangenheit verschlüsselten Datenverkehr abgefangen und gespeichert hat, werden die erfassten Schlüssel ihn entschlüsseln.
Was kann getan werden
Dieser Fehler wurde unabhängig voneinander von zwei verschiedenen Gruppen entdeckt, zwei Forschern von Codenomicon und einem Google-Sicherheitsforscher. Ihr starker Vorschlag ist, dass OpenSSL eine Version veröffentlicht, die die Heartbeat-Funktion vollständig deaktiviert. Mit der Einführung dieser neuen Edition konnten anfällige Installationen erkannt werden, da nur diese auf das Heartbeat-Signal reagierten, was eine "groß angelegte koordinierte Reaktion zur Erreichung der Besitzer anfälliger Dienste" ermöglichte.
Die Sicherheitsgemeinschaft nimmt dieses Problem ernst. Hinweise dazu finden Sie beispielsweise auf der Website des US-CERT (Computer Emergency Readiness Team). Sie können Ihre eigenen Server hier testen, um festzustellen, ob sie anfällig sind.
Leider gibt es kein Happy End für diese Geschichte. Der Angriff hinterlässt keine Spuren. Selbst nachdem eine Website das Problem behoben hat, kann nicht festgestellt werden, ob Betrüger private Daten abgehört haben. Laut der Heartbleed-Website wäre es für ein IPS (Intrusion Prevention System) schwierig, den Angriff von normalem verschlüsseltem Verkehr zu unterscheiden. Ich weiß nicht, wie diese Geschichte endet; Ich melde mich wieder, wenn es mehr zu erzählen gibt.
