Heartbleed

Hier mal eine kurze Zusammenfassung zum Thema Heartbleed, auch um mich selbst etwas zu sortieren. Unterm Strich mehr eine kleine Linksammlung.

Das Problem

Durch einen Programmierfehler ist es möglich 64K Speicher aus dem OpenSSL Adressebereich auszulesen. Hier können alle möglichen Daten liegen, die dann von Angreifern abgegriffen und genutzt werden können. Da der Fehler bereits seit zwei Jahren besteht, sollte geprüft werden, ob eine betroffene Version installiert war und v.a. ist.

Wie der Fehler zustande kommt kann hier, hier und hier nachgelesen werden.

 

Die Serverseite

Um Server zu testen gibt es diverse Webseiten:

– http://filippo.io/Heartbleed/ 

– http://possible.lv/tools/hb/

Und Scripte:

– https://github.com/FiloSottile/Heartbleed (in go geschrieben)

– https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl

Betroffene Daten sind z.B.:

– Cookies

– Zugangsdaten von Benutzern, wie bei der Login Seite von Yahoo

– private Keys, siehe hier

Was natürlich aufgrund der Natur der Schwachstelle nicht heisst, dass ein Serverdienst der betroffen ist auch tatsächlich wichtige Daten preisgibt.

Neben HTTPS sind auch POPS, IMAPS usw. betroffen.

Clients

Da auch Clients begroffen sein können (Browser sind bisher nicht betroffen) hier zu Prüfung noch ein paar Tools:

Pacemaker simuliert einen Server, um Clients auf die Schwachstelle zu überprüfen

Heartbleed Detector prüft Android Geräte

Bisher habe ich nur gesehen, das curl in manchen Linux Distributionen betroffen war.

Allerdings: Serverbetreiber die betroffen waren sollten Ihre Zertifikate getauscht und alte Zertifikate für ungültig erklärt haben. Clients sind hier zum teil nicht korrekt eingerichtet, z.B. wenn die entsprechenden Sperrlisten nicht heruntergeladen werden können, wird das alte Zertifikate im manchen Fällen weiter akzeptiert.

 

Betroffen Produkte und Webseiten

Hier eine ganz gute Liste mit betroffenen Seiten.

Cisco, Juniper und andere Hersteller haben Listen mit betroffenen Produkten zusammengestellt.

 

Fazit

Betroffene Dienste wie wie z.B. Freemail Dienste haben es wohl bisher zumindest teilweise Ihre Kunden nicht informiert oder aber nur allgemein empfohlen, Passwörter zu ändern, da will man wohl keine Kunden vergräzen. Auch liefen betroffene Dienste z.T. auch noch lange nach bekanntwerden der Lücke weiter, Stundenlang war es Angreifern möglich, teilweise sensible Daten von Benutzern abzugreifen. Meiner Meinung nach ein Unding.

Auf der Seite der Hersteller, die die betroffenen OpenSSL Version einsetzen, muss schnell gehandelt werden. Wenn sensible Daten, wie Session Cookies oder Klartext Passwörter ausgelesen werden können sollte der Dienst in meinen Augen durch die Administratoren abgestellt werden, bis ein Patch bereit steht.

Extrem wichtig ist das Thema Systemhärtung. Administratoren, die die Heartbeat Funktion nicht aktiviert haben, waren auch nicht betroffen.

Mir stellen sich noch folgende Fragen, die zum Teil auch allgemeiner Natur sind:

– Sollte in der Ausbildung und im Studium das Thema Sicherheit nicht eine größere Rolle spielen?

– Inwieweit ist es sinnvoll für technische Analysen Netzwerkverkehr mitgeschnitten werden? Ist ja auch Datenschutztechnisch eine interessante Frage. Wie sieht das aus mit Aufzeichnung zur Analyse ob Daten weg sind und im Gegensatz dem Datenschutz der ggf. verletzt wird, wenn man Netzwerkverkehr mitschneidet?

– Wie hätte man hier loggen müssen?

Ich bin mal gespannt, welche Effekte sich in nächster Zeit noch durch die Heartbleed Schwachstelle ergeben.

Update 15.04.2014: Inzwischen gibt es auch was, um den Private Key zu extrahieren, sofern überhaupt möglich: https://github.com/robertdavidgraham/heartleech
Außerdem gibts natürlich von den meisten Pentestiing Tools entsprechende Plugins, z.B. von Nessus, nmap, metasploit usw..

Advertisements