Heartbleed: Das Schlimmste ist noch nicht vorüber

12. April 2014, 11:50
100 Postings

Bei einem Test gelang es Sicherheitsforschern private SSL-Keys von einem verwundbaren Server auszulesen

Nach Bekanntwerden der Heartbleed-Sicherheitslücke testeten die Spezialisten von CloudFlare in den vergangenen Tagen mehrmals, ob mithilfe des Bugs die privaten SSL-Keys ausgelesen werden können. Die CloudFlare-Versuche mit betroffenen Linux NGinx-Servern brachten jedoch ein kurzzeitiges Aufatmen, da laut der Sicherheitsfirma das Auslesen der Verschlüsselungs-Keys "sehr schwierig" beziehungsweise "unmöglich" sein soll.

Private Keys ausgelesen

Doch die Freude währte nicht allzu lange. So schrieb CloudFlare eine "HeartBleed Challenge" aus, um die eigenen Funde zu bestätigen. Dafür wurde ein vom Bug betroffener Server zur Verfügung gestellt, der für Attacken auf die privaten SSL-Keys genutzt werden konnte. Nur neun Stunden später meldete sich ein russischer Sicherheitsforscher, dem es gelungen war die privaten Schlüssel auszulesen. Laut eigenen Angaben hatte er nur drei Stunden benötigt. Nur wenig später gelang es einem Finnen ebenso, die SSL-Keys abzugreifen. CloudFlare bestätigte daraufhin die Authentizität, gab jedoch auch an, dass der Wettbewerbs-Server kurz vor den Funden neugestartet wurde, weshalb sich die privaten Schlüssel auch im Speicher finden hätten können.

Schlimmsten Befürchtungen

Das Ergebnis des kurzen Tests bestätigt die allerschlimmsten Befürchtungen von Sicherheitsexperten. Mit den SSL-Schlüsseln ist es nämlich prinzipiell auch nachträglich möglich den verschlüsselten Datenverkehr auszulesen. (dk, derStandard.at, 12.04.2014)

  • Der russische Hacker Fedor Indutny bestätigt seinen Fund.
    foto: screenshot: webstandard

    Der russische Hacker Fedor Indutny bestätigt seinen Fund.

Share if you care.