Die Entwickler von OpenVPN warnen schon länger davor, dass durch die OpenSSL-Schwachstelle "Heartbleed" die privaten Schlüssel von VPN-Sitzungen ausgelesen werden könnten. Bis vor kurzem jedoch war nicht klar, ob dies unter realen Bedingungen tatsächlich möglich sei.

Gefährliche Angriffe denkbar

Dem schwedischen VPN-Dienst-Betreiber Fredrik Strömberg ist dieser Nachweis nun geglückt, wie Ars Technica berichtet. Das bedeutet wiederum, dass alle Betreiber eines OpenVPN-Servers sowie anderer VPN-Dienste, die OpenSSL nutzen, umgehend reagieren sollten. Neben der Aktualisierung auf eine bereinigte Version der Software sollten auch bestehende Zertifikate zurückgezogen und ersetzt sowie neue Schlüssel generiert werden.

Mit einem gestohlenen VPN-Key sind sonst im schlimmsten Falle Man-in-the-Middle-Attacken denkbar, bei denen eine Angreifer den Datenverkehr eines VPN-Users über einen eigenen Server umleitet und entschlüsselt.

Nachweis

Gelungen ist Strömberg das Auslesen des Schlüssels mit einem Exploit Package, mit dessen Hilfe der seinen Server mit Unmengen an Anfragen traktierte, ehe er aus den Antworten, die jeweils Inhalte aus dem Speicher mitlieferten, den Schlüssel zusammensetzen konnte. Details gab er nicht Preis, er verriet lediglich, dass er dazu mehr als einen Gigabyte, aber weniger als zehn Gigabyte an Daten auswerten musste. Ein Angriff ist also eine relativ aufwendige Angelegenheit.

Nicht betroffen sind Systeme mit TLS-Authentifizierung, sofern die Nutzer sich als Trusted User verbinden. (red, derStandard.at, 17.04.2014)