Eine Lücke in einer der wichtigsten Verschlüsselungsbibliotheken (OpenSSL) betrifft unzählige Benutzer des Internet direkt oder indirekt. Die schweizuerische Melde- und Analysestelle Informationssicherung Melani gibt Empfehlungen für Service Provider und Endbenutzer ab.
Durch die OpenSSL-Lücke kann ein Angreifer einen Teil des Speichers eines Servers auslesen, in dem sich die von Benutzern übertragenen Daten während eines kurzen Zeitpunkts befinden und damit Passwörter, Transaktionsdaten, aber auch Daten des Servers (beispielsweise private Schlüssel) stehlen. Es sind nicht nur Mailprovider oder Finanzinstitute betroffen, sondern auch andere Webportale (Webshops, Krankenkassenportale, usw.), die ein verschlüsseltes Login anbieten und entsprechend verwundbare Software einsetzen. Es können aber auch nicht browserbasierte, verschlüsselte Dienste betroffen sein: Smartphone-Apps, Chatdienste (z.B. Jabber), Cloud-Speicher, Streaming-Dienste, Mail-Dienste, VPN Zugänge, etc.
Melani stehe in Kontakt mit Telekommunikationsfirmen, Finanzinstituten und weiteren Unternehmen, welche kritische Infrastrukturen betreiben, heisst es in einer Mitteilung dazu. Viele Firmen hätten ihre Systeme bereits mit den verfügbaren Sicherheitsfixes versehen oder seien dabei, dies zu tun. Im Folgenden gibt Melani eine Empfehlung für Service Provider und für Endbenutzer ab.
Empfehlungen für Service Provider
Melani verweist hier unter anderem auf einschlägige Publikationen, insbesondere von
Heartbleed: http://heartbleed.com/
Blog von Fox-IT: http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
OpenSSL Vulnerability: https://www.openssl.org/news/secadv_20140407.txt
Betroffen sind laut Melani Nutzer von OpenSSL 1.0.1 und 1.0.2beta. Frühere Versionen scheinen nicht betroffen zu sein. Sämtliche Dienste, welche diese Bibliotheken verwenden, seien verwundbar (nicht nur Webserver). Dabei dürften insbesondere Server nicht vergessen werden, die beispielsweise Smartphone-Apps, Chatdienste (z. B. Jabber), Cloud-Speicher, Streaming-Dienste (z.B. Plex), Mail-Dienste (z. B. SMTP, POP, IMAP over SSL), OpenVPN Zugänge liefern, sofern diese OpenSSL Bibliotheken nutzen. Ebenso müssen Netzwerkgeräte wie Router und Switches berücksichtigt werden, welche entsprechende WebGUIs anbieten. OpenSSL 1.0.1g ist die erste Version, in welcher die Lücke beseitigt wurde.
Empfehlung von Melani
Melani empfiehlt dringend, innerhalb der nächsten 24 - 48h das entsprechende Update einzuspielen und bei heiklen Diensten die Zertifikate und Zugangsdaten auszutauschen. Bei Diensten, bei denen die Anforderungen an Vertraulichkeit oder Integrität höher als die Anforderung an Verfügbarkeit sind, kann ein temporäres Ausschalten der Dienste gerechtfertigt sein. Als Folgeschaden eines Angriffs muss in Betracht gezogen werden, dass Zugangsdaten potentiell kompromittiert worden sind.
Ein möglicher Workaround ist, einen grossen Teil des betroffenen Netzverkehrs über zentrale Access Systeme zu leiten, welche bereits aktualisiert worden sind, und die übrigen Systeme nach und nach zu patchen resp. nicht aktualisierbare Systeme dauerhaft hinter diesen Access Systemen zu platzieren.
Werden neue Software Versionen eingespielt, sollte darauf geachtet werden, nur sichere Algorithmen zu verwenden. Insbesondere sollte auch darauf geachtet werden, Perfect Forward Secrecy1 zu unterstützen.
1https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-depl...
Weiter sollten möglichst die entsprechenden IDS Signaturen eingesetzt und angreifende IP Adressen blockiert werden.
Empfehlungen für Endbenutzer
Für einen Endbenutzer ist es sehr schwierig, sich zu schützen, ausser er verzichtet auf sämtliche heiklen Transaktionen im Internet bis die jeweiligen Dienstleister die Lücke beseitigt haben. Es ist unbekannt, seit wann die Lücke ausgenutzt wird. Da nicht ausgeschlossen werden kann, dass Daten, die in den vergangenen Wochen benutzt wurden, abgeflossen sein könnten, empfiehlt Melani für die Endbenutzer:
Sobald die Provider die Sicherheitslücke geschlossen haben: Ändern aller Passwörter, welche für den entsprechenden Dienst (Surfen, eMail, Cloud-Dienste, VPN, ...) verwendet worden sind. Für alle Dienste unterschiedliche Passwörter verwenden.
Im Weiteren ...
... Einspielen von allfälligen Sicherheitsaktualisierungen auf Heimgeräten wie NAS Speicher und Router, sobald diese verfügbar sind.
Mögliche Auswirkungen
Ein Angreifer muss genügend 64K Memory Blöcke abgreifen, um das Datenmaterial für einen Angriff zu erhalten. Während es eher schwierig ist, sämtliche Transaktionen und Daten zu finden, ist es jedoch gut möglich, dass Schlüsselmaterial und Zugangsdaten in die Hände des Angreifers fallen, und er diese auch zu einem späteren Zeitpunkt für seine Zwecke nutzt. Ohne Perfect Forward Secrecy kann ein Angreifer auch zu einem späteren Zeitpunkt aufgezeichneten Traffic entschlüsseln.
Der Online-Stellenmarkt für ICT Professionals