Der Hearbleed-Bug erlaubt es Hackern den Private Key von Webseiten auszulesen. Alle Webseiten die OpenSSL verwenden müssen also ihre Schlüsselpaare austauschen – zusätzlich zu einem Patch für OpenSSL. Außerdem dementiert die NSA von dem Bug schon seit Jahren zu wissen. Wir glauben dem Geheimdienst aber erst einmal nichts.
Der Heartbleed-Bug von OpenSSL macht Webseiten nicht nur für Nutzer unsicher, sondern erlaubt offenbar auch den Diebstahl des Private Keys der jeweiligen Webseiten. Selbst nach einem Patch, der den Heartbleed-Bug selbst entfernt, sind die betroffenen Webseiten noch nicht sicher. Es gibt nämlich keine zuverlässige Methode um festzustellen, ob der Private Key der Seite bereits entwendet wurde.
Linktipp – Heartbleed-Bug: Auch Router betroffen
Mit dem Private Key kann ein Hacker jedoch auch ohne den Bug die Nutzdaten der Seiten-Besucher auslesen. Er muss nur seine eigene Webseite aufsetzen, sie wie das Vorbild gestalten und den entsprechenden Private Key zur Identifizierung der Seite verwenden. Der Unterschied zwischen der echten und der falschen Webseite ist auf den ersten Blick kaum feststellbar. Außerdem kann ein Hacker die Daten zwischen dem Anwender und der Webseite abfangen und entschlüsseln.
Der Sicherheitsdienst Cloudfare stieß gestern auf diese Lücke und rief Hacker dazu auf, den Private Key eines eigens aufgesetzten Servers, der mit mit OpenSSL und dem Heartbleed-Bug versehen wurde, auszulesen. Innerhalb eines Tages konnten vier verschiedene Hacker diesen Key in ihren Besitz bringen. Die Webseiten-Betreiber müssen also nicht nur den Heartbleed-Bug aus OpenSSL entfernen, sondern auch ihre Schlüsselpaare austauschen.
Linktipp – Heartbleed-Bug: Diese Passwörter müsst ihr ändern
Wusste die NSA von dieser Sicherheitslücke?
Am Wochenende machte außerdem das Gerücht die Runde, dass die NSA beinahe von Anfang an vom Heartbleed-Bug wusste und ihn nutzte, um ihre eigenen Zeile umsetzen zu können. Der Geheimdienst dementierte dies: Angeblich habe er auch erst im April von diesem Bug erfahren und ihn nicht genutzt. Angesichts der Datensammelwut der NSA, der Sabotage von Verschlüsselungsstandards und den Geheimgerichtsurteilen die Unternehmen zwingen die Daten ihre Nutzer an den Geheimdienst weiterzugeben, ist eine Aussage der NSA in diesem Kontext nicht das Papier wert auf dem sie geschrieben steht.