Workshop: Security-Tipp

Die letzten drei großen Sicherheitslücken, die den Großteil an Onlinediensten betrifft, hatten es wirklich in sich: Heartbleed, Poodle und Freak hebelten die Sicherheit zwischen Server und Client grundlegend aus. Heartbleed (CVE-2014-0160) wurde im April 2014 entdeckt und betrifft die OpenSSL Crypthography Library. Poodle (CVE-2014-3566) Padding Oracle on Downgraded Legacy Encryption Attack kam im Dezember 2014 ans Licht und betrifft SSL 3.0. Freak (CVE-2015-0204) schließlich steht für Factoring RSA Export Keys Attack und wurde im Januar 2015 veröffentlicht.

Heartbleed

Die Schwachstelle beziehungsweise der Bug bezieht sich auf alle gängigen und elementaren Bausteine für Verschlüsselungssysteme. Gängige Applikationen und HTTPS-Webanwendungen, die eine SSL/TLS -Verschlüsselung nutzen, sind von diesem Fehler betroffen. Darunter fallen beispielsweise E-Mail-Systeme, VPN-Systeme, Firewalls und Gateways.

Diese Sicherheitslücke ist so tückisch und gefährlich, da sie ohne Login-Informationen ausgenutzt werden kann. Einem potenziellen Angreifer ist es somit möglich, bis zu 64 KByte des Systemspeichers auszulesen, ohne irgendwelche Spuren auf dem betroffenen System zu hinterlassen. Dabei lassen sich private Schlüssel für X.509-Zertifikate, Benutzernamen, Passwörter, E-Mails, unternehmenskritische Dokumente und Nachrichten entwenden.

Betroffen von dieser Schwachstelle sind die OpenSSL-Versionen 1.0.1 bis 1.0.1f, sie können aktiv angegriffen werden. Sie sollten daher jedes einzelne System, das eine OpenSSL-Verschlüsselung verwendet, auf dessen Version überprüfen. Die Befehle zur Überprüfung lauten:

- Linux: »openssl version -a«

- Windows (Dieser Befehl muss im Verzeichnis der OpenSSL-Applikation ausgeführt werden): »openssl version -a«

Um die spezielle Heartbleed-Funktionalität direkt überprüfen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.