02.05.2014 09:59

Special Report: Heartbleed FAQ

11. April 2014

(Diese FAQ wird laufend aktualisiert.)

Update: 2014-04-14: Aktuelle Zahlen

Aktuelle Hochrechnungen ergeben, dass 2.300-2.400 Webserver mit IP Adressen aus dem österreichischen IP Adressbereich (laut RIPE.net) noch von Heartbleed betroffen sind.

Update: 2014-04-18

Update: 2014-04-23 08:30

Update: 2014-04-23 19:15

Update: 2014-04-24

Update: 2014-04-25

Was ist die "Heartbleed" Problematik?

Durch einen Fehler in OpenSSL können Angreifer Teile des Hauptspeichers eines betroffenen Systems (in Schritten von 64kB) auslesen. Dadurch war es in den letzten Jahren - und ist es je nach Server nach wie vor - Angreifern möglich, an diverse sensible Informationen zu gelangen. Dazu gehören unter anderem:
  • übertragene Benutzerdaten wie
    • Username/Passwort
    • Kreditkarten-Nummern
    • Session-Cookies
  • Private Keys (Zur Identifikation des Webservers)
Eine ausführliche Beschreibung des Problems findet sich auf http://heartbleed.com/ (englisch) sowie in unserer Warnung oder im Whitepaper der SBA-Research.

Eine Erklärung des Fehlers als Cartoon findet man auf xkcd.

Aktuelle Zahlen

Update: 2014-04-17
Geht man von den ca. 1,2 Mio. .at Domains aus, so kommt man mit einer einfachen Heuristik (domain selber, www.domain, secure.domain) auf rund 120.000 Webserver, von denen grob 55.000 auch HTTPS sprechen. Testet man diese auf Heartbleed, so sind noch 1.900 verwundbar.

Rechnet man in Domains und nicht in Webservern, so kommt man auf 470.000 Domains, auf deren Webserver HTTPS aktiv ist. Diese verteilen sich so auf die verwundbaren Webserver, dass potentiell noch 5.800 .at-Domains von Heartbleed betroffen sind.

Update: 2014-04-23
Aktuelle Tests ergeben 1.680 verwundbare Webserver und 951 verwundbare Mailserver (STARTTLS).

Auf .at-Domains umgelegt sind das 4.904 Domains mit verwundbaren Webservern und 4.086 mit verwundbaren Mailservern.

Wie kommt es zu dem Namen "Heartbleed"?

Der Fehler liegt in der Implementation der TLS-Erweiterung namens "Heartbeat". "Heartbleed" ergab sich dabei als Wortspiel mit "bleed" also "bluten".

Wie schwerwiegend ist das Problem wirklich?

Die Bewertung dieser Schwachstelle hängt von den Antworten zu zwei Fragen ab:
  • Wurde die Lücke schon vor der Veröffentlichung ausgenutzt?

    Dazu gibt es keine gesichterten Erkenntnisse. Falls nicht, war das Fenster für Angreifer ziemlich kurz, und es wären maximal die User von verwundbaren Diensten betroffen, die im heiklen Zeitfenster die Webseite besuchten.

    Falls diese Lücke aber schon länger bekannt und ausgenutzt wurde -- wie das etwa ein Bloomberg-Bericht behauptet -- dann ist wirklich global Feuer am Dach.

  • Ist wirklich das Auslesen der privaten Schlüssel des Webserver möglich?

    Zu dieser Frage gibt es widersprüchliche Aussagen: Es gibt Berichte, dass dies bei Webservern möglich ist, laut einem Artikel von CloudFlare ist das aber auf Apache und die ersten Requests nach einem Neustart beschränkt.

    Hat CloudFlare recht, dann ist die Gefahr von gestohlenen privaten Schlüsseln deutlich geringer als initial befürchtet.

    Update: 2014-04-17
    Cloudflare hat dazu eine eigene "Challenge" veranstaltet, und bei dieser wurden tatsäclich die Private Keys ausgelesen. Siehe Cloudflare Blog Eintrag.
Die folgenden Empfehlungen gehen vom "worst case" aus.

Welche Software ist betroffen?

Update: 2014-04-17
Die Kollegen von NCSC/CERT.fi haben dazu eine umfangreiche Liste zusammengestellt: https://www.cert.fi/en/reports/2014/vulnerability788210.html.

Auch das SANS ISC pflegt eine solche Liste: https://isc.sans.edu/diary/Heartbleed+vendor+notifications/17929.

Wer ist betroffen?

Grundsätzlich betrifft die Heartbleed Problematik alle Internet Benutzer, jedoch lassen sich diese in zwei Gruppen kategorisieren:
  • Benutzer
  • Webseiten-Betreiber/System-Administratoren

Was können/sollen/müssen Betroffene tun?

In Abhängigkeit davon zu welcher Gruppe von Betroffenen Sie sich zählen, empfehlen wir die folgenden Schritte in absteigender Priorität.

System-Administratoren/Webseiten-Betreiber

Bitte berücksichtigen Sie bei der Umsetzung der nachfolgenden Liste die Eigenschaften Ihrer Systemumgebung.
  1. Informieren Sie sich bzgl. der von Ihnen eingesetzten Software (Version), ob diese für die Heartbleed Problematik anfällig ist. Denken Sie auch an Netzwerk-Komponenten, wie Switches, Router, Firewalls, etc. Neben simplem Googlen oder Nachlesen in den entsprechenden Hersteller/Entwickler Foren können Scanner wie nmap oder Nessus und Dergleichen aber auch Webseiten, die speziell zur Überprüfung von Servern hinsichtlich der Heartbleed Problematik erstellt wurden, verwendet werden.
  2. Ist dies der Fall, informieren Sie sich weiters, ob vom Hersteller bereits ein entsprechendes Update angeboten wird.
  3. Ist ein solches Update verfügbar, installieren Sie dieses (unter Rücksichtnahme auf Ihre spezielle Systemumgebung). Sollte kein Update verfügbar sein, kann dennoch ein zukünftiges Ausnutzen der Lücke via Firewall/IPS verhindert werden.
  4. Danach müssen Sie alle damit verbundenen Services (Apache, OpenVPN etc. - eine längere Liste findet sich hier) neu Starten.
  5. Erstellen Sie neue Schlüssel und Zertifikate.
  6. Spielen Sie nun die neuen SSL-Zertifikate ein (auf Wirksamkeit überprüfen!).
  7. Im Anschluss widerrufen (revoken) Sie die alten Zertifikate.
  8. Wenn die Seite Login-Daten verarbeitet hat sollten Sie nun alle Passwörter selbst zurücksetzen bzw. Ihre User über die diesbezügliche Notwendigkeit informieren.
Anmerkung: Nicht via OpenSSL übertragene Daten (etwa Logins per ssh) sind nicht betroffen und müssen daher auch nicht zurückgesetzt werden.

Benutzer

  1. Ändern Sie alle Ihre Passwörter! In absteigender Priorität empfiehlt sich dabei folgende Reihenfolge:
    1. E-Mail
    2. Payment-Anbieter/Bezahldienste (Paypal, Paylife, Online-Bitcoin-Wallet, Kreditkarten, usw.)
    3. Webshops (Amazon, Ebay, etc.)
    4. Kunden-IDs (z.B. Apple ID, Microsoft Live ID, Steam, Origin, ...)
    5. Oft benutzte/persönlich wichtige Foren
    6. Selten genutzte Accounts
  2. Was sind gute Passwörter?
    1. Passwörter sollten lange sein. Mindestens 12 Zeichen.
    2. Passwörter sollten nur dem Benutzer bekannt sein
    3. Passwörter sollten niemals in einem Wörterbuch stehen
    4. Passwörter sollten nicht wiederverwendet werden: verschiedene Passwörter für verschiedene Seiten!
    5. Ein guter Trick: man nehme die Anfangsbuchstaben eines Satzes und streue Sonderzeichen und Ziffern ein. Siehe auch das xkcd comic zum Thema.
    6. Bei vielen Passwörtern empfiehlt sich der Einsatz von Passwort-Managern
    7. Weitere Tipps für gute Passwörter: auf Wikipedia
  3. Nachdem Sie die Passwörter geändert haben loggen Sie sich aus den zugehörigen Portalen/Webseiten aus.
  4. Überprüfen Sie besonders in nächster Zeit (aber auch rückwirkend) Ihre Kontoauszüge auf etwaig unstimmige Inhalte.

Anmerkungen:

  • 2-Faktor Sicherheitskonzepte (z.B. Blizzard/WoW, Google Authenticator, ...) schützen bei der Heartbleed Problematik. Wir empfehlen dennoch damit in Verbindung stehende Passwörter zu ändern.
  • Auch beim Internet-Banking sollte man das Passwort (wo möglich) ändern. Die Überweisungen selbst sind zwar (meist) durch TAN (iTAN, mTAN) nochmals extra abgesichert, jedoch können Kriminelle mit Ihren Zugansdaten allein bereits unter Umständen Ihre Kontodetails und damit einhergehende Informationen wie Kontostand, vergangene Transaktionen, etc. einsehen.

Warum sollte ich als "einfacher Benutzer" etwas tun? Die Server-Betreiber haben doch schon reagiert!

Bei der Heartbleed Problematik handelt es sich um ein "mehrschichtiges" Problem. Dieses kann nur mit Ihrer Unterstützung behoben werden - Passwort ändern, Ausloggen (=Session Cookie invalidieren). Da die Lücke relativ einfach zu finden und auszunutzen ist, besteht eine realistische Gefahr, dass andere sie bereits vor längerer Zeit entdeckt und ausgenutzt haben. Daher könnten in der Zeit von Bekanntwerden der Lücke und der Behebung derselbigen durchaus Benutzerdaten wie Usernamen/Passwörter eingesammelt worden sein. Das bedeutet: Ihre Mithilfe ist erforderlich! In letzter Hinsicht sind Sie der/die Leidtragende!

Wie kann ich mich in Zukunft vor solchen Attacken (besser) schützen?

Gleich vorweg: "absolute Sicherheit" gibt es nicht! Dennoch lassen sich je nach Gruppe von Internet Benutzern gewisse Empfehlungen zusammenfassen.

System-Administratoren/Webseiten-Betreiber

Machen Sie es Angreifern schwerer indem Sie
  • alle Ihre Systeme (betrifft auch Netzwerkkomponenten, VPN Software u.ä.) und die darauf eingesetzte Software (auch Firmware) aktuell halten
  • wo möglich Verschlüsselungssoftware verwenden. Achten Sie dabei unbedingt auch auf die korrekte Konfiguration derselbigen - entsprechende Anleitungen finden sich zum Beispiel unter bettercrypto.org
  • laufend die Logs Ihrer Systeme prüfen
  • "auf dem Laufenden bleiben" und sich über die von Ihnen eingesetzte Software informieren

Benutzer

Als Benutzer können sie es Kriminellen deutlich erschweren Zugriff zu Ihren Daten zu erhalten:
  • Verwenden Sie Passwörter nicht mehrfach! Zur besseren Übersicht empfiehlt sich darüber hinaus der Einsatz von Passwort Safes.
  • Verwenden Sie den Browser-internen Passwort Safe nur für "unwichtige" Benutzerzugangsdaten.
  • Wählen Sie "sichere" Passwörter. Hierfür finden sich diverse Leitfäden im Internet bzw. bringen die meisten Passwort Safes bereits eine automatische Bewertung und/oder entsprechende Passwort Generatoren mit.
  • Halten Sie Ihre Systeme aktuell und setzen Sie, wo möglich, auf Firewalls und Virenschutz.

Wann ist Heartbleed vorüber?

Es wird wohl noch längere Zeit auf diese Weise verwundbare Webseiten geben, vor allem kleinere Anbieter haben manchmal nicht die technische Kompetenz, hier entsprechend und vor allem zeitnah zu reagieren. Es empfiehlt sich daher, vor dem Anlegen neuer Accounts kurz über die verfügbaren Online-Tests nachzusehen, ob der Anbieter für diese Attacke anfällig ist.

Ich denke, ich bin betroffen - mein Passwort wurde gestohlen - was tun?

Generell ist anzumerken, dass ein Verlust/Diebstahl von Passwörtern in den meisten Fällen nicht einfach einer bestimmten Ursache - im aktuellen Fall der Heartbleed Problematik - zuordenbar ist. Wie auch immer, meistens sind solche Vorfälle aber auf Schadsoftware/Malware (Trojaner, Password Stealer, Keylogger, etc.), die sich auf Ihrem lokalen System eingenistet haben, zurückzuführen. Überprüfen (und gegebenenfalls bereinigen) Sie daher unbedingt Ihr lokales System - entsprechende Anleitungen und Tutorials finden sich zuhauf im Internet. Danach sollten Sie so schnell wie möglich Ihre betroffenen Passwörter ändern und je nach Situation und Notwendigkeit eventuell weiterführende Maßnahmen wie die Prüfung von Kontoauszügen, etc. ergreifen.

Eine Website ist (nach wie vor) verwundbar - an wen soll ich mich wenden?

Wenden Sie sich am besten direkt an den betroffenen Anbieter. Kontaktinformationen sollten auf der Website ersichtlich sein. Sollte dieser wider Erwarten nicht reagieren, kontaktieren Sie uns via reports@cert.at und wir unterstützen Sie gerne bei der Koordination.

Wie betroffen ist Österreich? - Statistiken

Unseren ersten Auswertungen (Stand 11.04.2014) zufolge sind aktuell etwas mehr als 30.000 österreichische Domains/Websites/Server akut betroffen. Wie auch immer, viele Betreiber agieren sehr verantwortungsbewusst und beheben Fehler (durch Einspielen von Updates, etc.) entsprechend zeitnah. Dementsprechend scheinen zwangsweise diese Domains/Websites/Server in Untersuchungen danach nicht mehr auf. Im Falle der Heartbleed Problematik geht es aber nicht nur um akut verwundbare sondern ebenso um die vor kurzem noch verwundbaren (siehe weiter oben) Domains/Websites/Server. Die dementsprechende "Dunkelziffer" liegt daher wesentlich höher.
Update: 2014-04-17
Update: 2014-04-23 08:30
Update: 2014-04-24

Informationsquelle(n):

CERT.at Warnung zu Heartbleed
https://cert.at/warnings/all/20140408.html
Whitepaper von SBA-Research
http://www.sba-research.org/wp-content/uploads/2014/04/HeartbleedWhitepaperv02.pdf
Heartbleed.com
http://heartbleed.com/
Online-Test
http://filippo.io/Heartbleed/
SANS Diary
https://isc.sans.edu/diary/Heartbleed+vendor+notifications/17929