Fakten und Hintergründe zur OpenSSL-Lücke

Gegenmaßnahmen zur Heartbleed-Sicherheitslücke für Admins

Seite: 2/2

Firma zum Thema

Welche Seiten und Dienste sind betroffen?

Jeder Dienst, der eine OpenSSL-Version von 1.0.1 bis hin zu 1.0.1f verwendet. Oftmals ist dies für Endkunden nicht direkt erkennbar, es ist aber anzunehmen, dass zahlreiche Open-Source-Produkte entsprechende Funktionen nutzen. OpenSSL ist beispielsweise Teil der Webserver Apache und nginx. Diese beiden Systeme haben einen Marktanteil von 66 Prozent weltweit – das ist mit ein Grund, warum auch populäre Medien auf die Sicherheitslücke anspringen. Nicht alle Server verwenden allerdings OpenSSL, es gibt zahlreiche Alternativen für die Verschlüsselung des Datenverkehrs.

Die Webseite Mashable hat eine Übersicht populärer Dienste veröffentlicht. Demnach sind etwa LinkedIn oder Microsoft-Angebote nicht betroffen, Dienste von Google, Yahoo, LastPass oder Amazon sind oder waren zumindest teilweise anfällig.

Wie kann ich meine Server überprüfen?

Verantwortliche können über mehrere Wege prüfen, ob die eigenen Programme und Server für Heartbleed anfällig sind. Die Seiten Filippo.io und Possible.lv bieten Web-basierte Überprüfungen an. Dazu gibt es passende Module für Nessus, OpenVAS, Metasploit und NMAP. LastPass-Nutzer können ebenfalls überprüfen, ob die gespeicherten Webseiten von Heartbleed betroffen sind.

Meine Systeme sind anfällig! Was soll ich tun?

Die Antwort: Schnellstmöglich auf OpenSSL 1.0.1g aktualisieren. Diese Programmversion behebt die Heartbleed-Lücke. Solange eine veraltete Version im Einsatz ist, sind die Daten der Anwender nicht geschützt.

Attacken via Heartbleed dürften in kürzester Zeit zum Standard-Repertoire jedes Angreifers und jeder Malware gehören. Wer die neueste Version nicht implementieren kann, der sollte zumindest seine OpenSSL-Version ohne die Heartbeat-Funktion kompilieren. Das geschieht über die Option „-DOPENSSL_NO_HEARTBEATS“. Damit verliert man entsprechend auch die Heartbeat-Funktion.

Nahezu alle Linux-Distributionen bieten inzwischen Updates für ihre Anwendungen an.

Wie schütze ich künftig die Daten?

Nachdem die neue Version von OpenSSL installiert ist, müssen im nächsten Schritt die genutzten Server-Zertifikate ausgetauscht werden. Solange dies nicht geschehen ist, kann der Angreifer die Daten unter Umständen weiter abfangen. Die meisten Anbieter von Zertifikaten bieten einen kostenlosen Austausch an.

Endkunden sollten ihre Kennwörter aktualisieren, sobald die Dienste ein neues Zertifikat ausgerollt haben.

Ein weiterer wichtiger Schritt ist die Aktivierung von PFS (Perfect Forward Secrecy). Diese Technik schützt unter anderen älteren Daten davor, zu einem späteren Zeitpunkt entschlüsselt zu werden.

Kann ich feststellen, ob meine Systeme mittels Heartbleed attackiert werden?

Leider ist Heartbleed als Angriffsform komplett transparent und hinterlässt (zumindest nach dem aktuellen Wissenstand) keine Spuren.

Für Firmen-Admins, die über IDS/IPS-Systeme verfügen, bietet Heartbleed einen Ansatz, um Attacken zu erkennen: Die Systeme können auf das OpenSSL Heartbeat Request trainiert werden. Die Inhalte lassen sich dabei nicht erkennen, wenn sich allerdings die Größe der Anfrage deutlich von der Größe der Antwort unterscheidet, könnte hier eine Attacke vorliegen. Leider lässt sich der Angriff aktuell nicht blocken, außer es werden alle Heartbeat-Verbindungen abgelehnt.

(ID:42636246)