OpenSSL-Lücke Heartbleed: Forschern gelingt es, Private Keys zu stehlen

Das Ausnutzen der OpenSSL-Lücke Heartbleed, um Private Keys auszuspähen, sollte eigentlich so gut wie unmöglich sein. Die Forscher Fedor Indutny und Illkka Mattila benötigten 2,5 Millionen beziehungsweise 100.000 Heartbeat-Anfragen, um dem von CloudFare aufgesetzten Test-Server den Schlüssel zu entlocken.

Den zwei Forschern Fedor Indutny und Illkka Mattila ist es gelungen, die Sicherheitslücke in OpenSLL, die unter dem Namen Heartbleed-Bug bekannt ist, auszunutzen, um Private Keys auszuspähen. Dies sollte einer Theorie von CloudFare zufolge, so gut wie unmöglich sein. Auch Google-Security-Mitarbeiter Neel Mehta – einer der Entdecker von Heartbleed – hatte schon am 8. April in einem Tweet darauf hingewiesen, dass die Wahrscheinlichkeit gering ist, einen Private Key über Heartbleed zu erlangen.

OpenSSL-Lücke Heartbleed: Forschern gelingt es, Private Keys zu stehlen

Das Ausnutzen der OpenSSL-Lücke Heartbleed, um Private Keys auszuspähen, sollte eigentlich so gut wie unmöglich sein. Die Forscher Fedor Indutny und Illkka Mattila benötigten 2,5 Millionen beziehungsweise 100.000 Heartbeat-Anfragen, um dem von CloudFare aufgesetzten Test-Server den Schlüssel zu entlocken (Bild: via ZDNet.de).

CloudFare hatte einen Server mit nginx und einer von der Heartbleed-Lücke betroffenen Version von OpenSSL aufgesetzt, um seine Theorie zu beweisen. Es hatte anschließend Sicherheitsexperten & Co aufgefordert, zu versuchen, den privaten Schlüssel zu stehlen. Den zwei Forschern ist es kurz darauf gelungen. Allerdings weist CloudFare darauf hin, dass es den Server während des Testlaufs einmal zurücksetzten musste. Dies könnte den Angreifern in die Karten gespielt haben.

Die Sicherheitslücke in OpenSSL CVE-2014-0160, auch Heartbleed-Bug genannt, wurde von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckt. Sie besteht seit gut zwei Jahren. Dadurch ist Zugriff auf 64 KByte des flüchtigen Speichers eines Webservers möglich. Der Bug steckt im Programmcode für eine Funktion namens Heartbeat. Ein Client und ein Server transferieren dabei zufällige Daten, um auf diese Weise ihre Verbindung mit Transport Layer Security (TLS) zu bestätigen. Das Problem: Sobald ein Angreifer die Paketgröße größer angibt als tatsächlich der Fall, füllt der Server das Paket mit Daten aus seinem Speicher auf, bevor er es zurückschickt. Eine Prüfung der Größe erfolgt nicht.

Es ist mit Heartbleed daher aber nicht möglich, zielstrebig einen bestimmten Speicherbereich auszulesen. Welche Informationen aus diesen 64 KByte auslesbar sind, ist also Zufall. Trotzdem besteht die Gefahr, dass Angreifer sensible Informationen wie Zugangsdaten oder private Schlüssel abgreifen können, der sich dazu verwenden lässt, um sich später gegenüber Dritten als der jeweilige Server auszugeben.

Indutny benötigte daher auch 2,5 Millionen Heartbeat-Anfragen, die er im Lauf eines Tages durchführte, um den Schlüssel zu erlangen. Mattila hatte beispielsweise jedoch schon früher Glück und brauchte nur 100.000 Versuche. Später meldeten sich noch zwei Forscher mit dem korrekten Schlüssel, Rubin Xu und Ben Murphy.

Ob und in welchem Ausmaß die Heardbleed-Lücke tatsächlich ausgenutzt wurde, das ist schwer zu sagen. Zwar wurden die meisten Webseiten und Dienste mittlerweile gepatcht, im Grunde müsste aber jeder Nutzer einer gefährdeten Seite sein Passwort wechseln, da es längst kompromittiert sein könnte. Weitere Informationen hält folgender Artikel bereit.

[Mit Material von Florian Kalenda, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu OpenSSL-Lücke Heartbleed: Forschern gelingt es, Private Keys zu stehlen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *