Politik & Netzpolitik
Kommentare 11

Heartbleed und du.

Cyberattacken - Karte

Heartbleed, Herzblut(en) – ein Begriff, der momentan die meisten digitalen Kanäle durchzieht und irgendwas mit Computern und Verschlüsselung zu tun hat. Und ganz schlimm sein muss. Aber warum – und wieviele?

Heartbleed-Logo

Heartbleed-Logo

Kurz zu mir: ich bin der Herr S. (der hier ab und zu Erwähnung findet), arbeite seit einigen Jahren als Sysadmin und halte u.a. die Netzwerke und Server von ein paar international agierenden Unternehmen am Laufen, wehre ab und zu Cyberangriffe aus fernen Ländern ab und werde hier versuchen zu beschreiben, warum „Heartbleed“ für uns alle ein Riesenproblem darstellt.

„Cyberangriffe aus fernen Ländern“? Richtig … ich skizziere das mal kurz: Einige der Unternehmen für die ich tätig bin, unterhalten Geschäftsbeziehungen in ferne Länder. Konkurrenzunternehmen, oder staatliche Agenturen haben häufig ein großes Interesse daran, an z.B. interne E-Mails, oder Datenbanken zu gelangen, um vertrauliche Angebote und Verträge zu erbeuten, damit die Firmen bei Verhandlungen unterboten werden können, oder um sie bei Geschäftspartnern zu diskreditieren. Die Häufigkeit dieser Attacken hat (empirisch und gefühlt) in den letzen Monaten enorm zugenommen. So haben wir vor etwa einem Jahr im Durchschnitt 3 – 4 Angriffe auf unsere Systeme pro Tag verzeichnet, während es mittlerweile bereits die zehnfache Menge ist. Als Angriff definiere ich dabei einen Versuch, auf Daten zuzugreifen, für die keine Berechtigung vorliegt, also z.B. das Knacken von Passwörtern für E-Mail-Accounts, oder Zugriff auf firmeninterne Webseiten. Besonders begehrt ist dabei, sich einen sogenannten Root-Zugang zu verschaffen, also ein Zugang zu Servern als „Benutzer, der alles darf und kann“, z.B. alle Daten, E-Mails und Datenbanken lesen. Wenn ein Angreifer in den Genuss kommt, die Zugangsdaten für den Root-Benutzer zu erbeuten, ist das in etwa so, als würde er einen Schlüssel für eure Wohnung haben, ohne dass ihr davon etwas mitbekommt. Er kann – wenn ihr nicht zu Hause seid – eure Sachen durchsuchen, abfotografieren und am Ende alle Spuren verwischen. Unheimlich, oder? Ich könnte darüber stundenlang weiterschreiben, aber viel wichtiger ist momentan die Heartbleed-Lücke. Anbei noch eine Karte der letzten 250 Attacken auf die Root-Zugänge der Systeme, die ich betreue. Kommentarlos und mit einem leichten Augenzwinkern an dieser Stelle.

Cyberattacken - Karte

Cyberattacken aus fernen Ländern, danke GoogleMaps.

Was hat das Ganze nun mit der Heartbleed-Lücke zu tun? Um vertrauliche Informationen zu schützen, muss man einen Weg finden, damit sie nicht mitgelesen, oder verändert werden können. Die gängigste Methode ist dabei, die Daten zu verschlüsseln. Das kennt man vom Online-Banking, von Facebook, Twitter und allen anderen Internetdiensten, die die kleine Adressleiste im Browser grün färben und immer mit einem „https://“ beginnen. Stellt euch Komunikation im Internet einfach vor, als würde man pausenlos Postkarten versenden und empfangen. Die erreichen ihr Ziel zwar in den meisten Fällen, aber jeder kann sie theoretisch mitlesen (der Briefträger, die Leute in den Verteilungszentren der Post, eure Mitbewohner, die Polizei, Geheimdienste, kurzum jeder, der damit in Kontakt kommen möchte und die Möglichkeiten dazu hat). Um ein Mitlesen, oder Verändern zu verhindern, aber trotzdem noch Informationen zu übermitteln, bietet es sich an, den Inhalt einer Postkarte zu verschlüsseln, also dafür zu sorgen, dass nur Absender und Empfänger verstehen, was eigentlich gemeint ist. Ähnlich wie die Fantasiesprache, die ich als Kind mit meinen Freunden erfunden habe, damit unsere Eltern nicht alles mitbekommen, was wir so zu sagen hatten. Nach dem Prinzip funktioniert auch die Verschlüsselung im Internet. Wobei es einen kleinen Unterschied gibt: die Verschlüsselung im Internet muss ein großes Maß an Sicherheit bieten, damit sie nicht umgangen werden kann. Ich werde nicht auf technische Details eingehen, ihr müsst an dieser Stelle einfach akzeptieren, dass für eine sichere Verbindung auf Seiten des Servers ein sogenannter „Privater Schlüssel“ – also eine Art sehr sehr langes Codewort (siehe Bild unter dem Absatz) – zum sicheren Verschlüsseln von Daten notwendig ist. Gelangt nun jemand in den Besitz dieses „Privaten Schlüssels“, kann er nun sämtliche (eigentlich verschlüsselte) Kommunikation mitlesen und auch im Nachhinein entschlüsseln. An dieser Stelle sei darauf hingewiesen, dass die NSA – den Unterlagen Edward Snowdens zufolge – verschlüsselte Daten für eine lange Zeit „auf Vorrat“ speichert, um sie eines Tages entschlüsseln und analysieren zu können. Macht’s klick? Nein? :) Wer im Besitz des „Privaten Schlüssels“ ist, kann die ganzen Daten, die er aufgezeichnet hat, auch im Nachhinein wieder entschlüsseln (vorausgesetzt es wurde nicht ein Verfahren, das sich „Perfect Forward Secrecy“ nennt eingesetzt).

Beispiel für einen "Privaten Schlüssel2

Beispiel für einen „Privaten Schlüssel“

Die Heartbleed-Lücke erlaubt leider genau das: durch einen Programmierfehler in der beliebten openSSL-Bibliothek (die die verschlüsselte Kommunikation auf technischer Ebene ermöglicht) kann ein Angreifer ohne große Mühe – und schwer nachweisbar – diesen „Privaten Schlüssel“ eines Servers auslesen und ist dadurch in der Lage sämtliche Kommunikation zu entschlüsseln. Und zu Kommunikation gehören auch Benutzernamen und Passwörter, Inhalte und Informationen, die eigentlich besonders schützenswert sind. Die Heartbleed-Lücke ist deshalb so gefährlich, weil – Schätzungen zufolge – rund 60% aller Server im Internet davon betroffen sind, also ihren „Privaten Schlüssel“ jedem zugänglich machen, der diese Lücke ausnutzen kann. Und das betrifft nicht nur Internetseiten: auch eine Vielzahl an sogenannten Mailservern (Server die für den Versand und Empfang von E-Mails zuständig sind, z.B. GMX, Freenet, etc.) weisen/wiesen die entsprechende Lücke auf. Also können auch die Inhalte von E-Mails, die zwischen den Mailservern verschlüsselt verschickt werden, mitgelesen werden. Auch eine Reihe anderer sensibler Dienste ist davon betroffen, beispielsweise VPN-Tunnel (verschlüsselte Tunnel im Internet, die z.B. Firmenstandorte miteinander vernetzen), oder Kommunikationsdienste von Smartphone-Apps.

Das wirklich Schlimme daran ist, dass es nur eine Möglichkeit gibt, Heartbleed und seine Auswirkungen und Gefahren zu bekämpfen: man muss sowohl die Sicherheitslücke schließen, als auch die privaten Schlüssel eines Servers ersetzen und durch neue Schlüssel austauschen. Da die Lücke seit etwa 2 Jahren grassiert und nicht 100%ig auszuschließen ist, ob die Dienste, die man nutzt, betroffen sind, ist es ratsam _alle_ Kennwörter zu ändern, die man im Zusammenhang mit Web- und Mail-Diensten nutzt. ABER VORSICHT: die Kennwörter sollte man erst und NUR ändern, wenn die betroffenen Webseiten und Dienste bestätigen können, dass sie die Lücke geschlossen und ihre „Privaten Schlüssel“ ausgetauscht haben. Unter dem Artikel zeige ich noch kurz, wie das im Falle eines Debian, oder Ubuntu-Servers (Linux-Betriebssysteme) geht.

Da wir nun wissen, dass ein „Privater Schlüssel“ niemals, niemals, niemals in die Hände anderer Personen gelangen darf, bleibt die Frage „Was bedeutet das für mich eigentlich? Ich hab‘ doch nichts zu verbergen…“ Dazu mehrere Kategorien:

Für Privatpersonen:
Ändert bitte _alle_ Passwörter! Ich weiß, es nervt: Gefühlt soll man mittlerweile jede Woche seine ganzen Passwörter ändern, weil die Medien dazu aufrufen. Aber in dem Fall führt kein Weg dran vorbei. Bitte ändert die Passwörter aber erst, wenn die entsprechenden Dienste ihr Okay gegeben haben, da die ganze Angelegenheit sonst vollkommen sinnlos ist, da es ja möglich ist, die Kommunikation (die mit den alten „Privaten Schlüsseln“ verschlüsselt wird) abzugreifen. Wenn Betreiber von Diensten dazu keine Auskunft geben können, oder wollen: nervt den Support und trefft sie dort, wo es weh tut: beim Geld. Schreibt den Support an, immer und immer wieder, so dass es wirtschaftlicher für die Firmen ist, die Heartbleed-Lücke zu beheben, als auf die ganzen Support-Anfragen reagieren zu müssen. Für kleinere Dienste ist das in der Regel kein Problem, da sie meistens eine überschaubare Anzahl an Servern besitzen, die schnell geupdatet sind. Bei größeren Firmen, wie GMX, oder web.de kann es allerdings deutlich länger dauern, da hier viele, viele Server betroffen sind und solche Änderungen auch immer mit dem Ausfall bestimmter Dienste und Systeme verbunden sein können.

Für Blogger:
Drei Möglichkeiten: ihr betreibt ein Blog bei einem Dienst, wie wordpress.com, oder blogger? Informiert euch, ob ihr betroffen seid und nervt gegebenenfalls den Support (wie bei Privatpersonen beschrieben) und setzt sie unter Zugzwang. Ihr betreibt einen Blog auf einem eigenen, selbstverwalteten Server? Dann nutzt ihr (hoffentlich) verschlüsselte Verbindungen, um euren Blog zu administrieren, oder Artikel zu schreiben. In dem Fall müsst ihr die Sicherheitslücken selbstständig schließen und die privaten Schlüssel austauschen, ein kleines How-To steht unter dem Artikel. Oder ihr habt euren Blog auf einem Server, den jemand anderes verwaltet? Sprecht euren Admin an und fragt, ob die Lücke behoben wurde. Wenn nicht, die entsprechenden Infos befinden sich am Ende dieses Artikels.

Für Unternehmen:
Jackpot! Um Wirtschaftsspionage zu verhindern, gehen Sie über Los und schließen Sie auf allen Ihren betroffenen Servern die Sicherheitslücke, tauschen Sie alle privaten Schlüssel auf den betroffenen Servern aus und ändern Sie alle Passwörter für alle Accounts, ansonsten geht es direkt ins Gefängnis. ;)

Es gibt im Internet mittlerweile unzählige Artikel zur Heartbleed-Lücke, bitte belest und informiert euch weiter, da sie den Titel als „größte Sicherheitslücke aller Zeiten“ leider wirklich verdient hat.

Für meine geschätzten Sysadmin-Kollegen hier noch eine knappe Anleitung, wie die Lücke unter Ubuntu-Linux 12.04 geschlossen werden kann. Da ich das Rad nicht neu erfinden möchte, gibt es einen Link zu einem Artikel, der beschreibt, wie die „Privaten Schlüssel“ ausgetauscht werden.

per SSH mit dem Server verbinden und als priviligierter Benutzer (der sudo ausführen darf) einloggen: zuerst prüfen wir, ob wir betroffen sind: wir updaten die Paketquellen und installieren das Paket „apt-show-versions“

sudo apt-get update && sudo apt-get install apt-show-versions
sudo apt-show-versions openssl

jetzt wird es spannend:
bekommt ihr als Ausgabe z.B. „openssl 1.0.1-3…“ müsst ihr die openssl-Bibliothek unbedingt updaten. Betroffen sind alle Versionen bis einschließlich dieser: „openssl 1.0.1-3…“. Erst ab Version „openssl 1.0.1-4ubuntu5.12“ ist die Lücke geschlossen worden. In dem Fall müssen wir die Pakete „upgraden“, wir fangen an mit einem Testlauf:

sudo apt-get -V -s upgrade

Ist der Testlauf okay, kommen wir zum eigentlichen Update:
wollt Ihr nur die openssl-Pakete updaten, führt folgendes aus:

sudo apt-get install –only-upgrade openssl
sudo apt-get install –only-upgrade libssl1.0.0

um alle Pakete zu upgraden – was eigentlich ratsam ist, aber in bestimmten Fällen zu Problemen führen kann – führt folgendes aus:

sudo apt-get upgrade

nach dem Test überprüfen wir die openssl-Version

sudo openssl version -a

openssl-Version

Ausgabe der Version der openssl-Bibliothek

# Ist sie – wie abgebildet – mindestens auf Montag, den 07. April 2014 datiert, ist die
# Heartbleed-Lücke geschlossen
# Das war easy :)

Um die Zertifikate zu ändern möchte ich an dieser Stelle auf diese – wirklich gute – Anleitung hinweisen, die sich der Problematik bereits angenommen hat:
https://www.digitalocean.com/community/articles/how-to-protect-your-server-against-the-heartbleed-openssl-vulnerability

Solltet ihr Hilfe, oder Unterstützung dabei benötigen, schreibt mich gerne unter it(ätt)sarahmaria.de an oder hinterlasst einen Kommentar.

Es grüßt der Herr S. (der gerade seinen ersten Gast-Blogatikel verfasst hat :) )

11 Kommentare

  1. Hallo und danke für die gut verständlichen Erläuterungen!
    Eine praktische Frage ist offen geblieben: Müssen wirklich _alle_ Kennwörter geändert werden? Oder reicht es aus, Passwörter zu „wichtigen“ Online-Diensten zu ändern? Ich gehe mal davon aus, dass niemand möchte, dass seine Mailadresse gekapert wird, und niemand seine Dropbox oder seinen Facebook-Account für Ganoven und Geheimagenten offen halten mag.

    Beim Durchsehen meiner Passwörter habe ich aber festgestellt, dass es da auch (eine ganze Reihe) Accounts gibt, womit auch in Kenntnis des Passworts niemand etwas anstellen könnte, was schlimmer als ein Aprilscherz wäre. zB. Internetforen, in denen man nie sehr aktiv war, und bei denen es auch kein Verlust wäre, ausgesperrt zu werden. Und dann gibt es da noch Dienste, die lieber nicht in fremde Hände geraten sollten, die aber sagen, sie seien nicht betroffen. zB Amazon http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

    Meinst du, diese Passwörter sollte man auch alle ändern? Wenn ja, warum? Gibt es da Lücken, die ich übersehe? (Eine fällt mir ein: Wenn man bei mehreren Diensten dasselbe Passwort verwendet hat. Das sollte man eh nicht tun.) Können durch den Heartbleed-Bug auch Passwörter nichtbetroffener Seiten (zB Amazon) abgefangen worden sein, auf irgendwelchen Umwegen?

    • Herr S.

      Hallo Erbloggtes,

      das ist eine berechtigte Frage. _alle_ ist in dem Zusammenhang natürlich etwas überspitzt, aber es empfielt sich zumindest alle Passwörter zu ändern, die man a) mehrfach verwendet (was man sowieso nicht tun sollte) und b) bei Diensten verwendet, die im Zusammenhang mit der Heartbleed-Lücke als „kompromittiert“ gelten. Immerhin weiß man nicht, ob die Daten in der Vergangenheit bereits abgegriffen wurden. Ein anderes Problem in diesem Zusammenhang ist die Vertrauenswürdigkeit der Betreiber, die durchaus auch ein PR-Interesse daran haben, als besonders sicher zu gelten. So kann man als Nutzer eigentlich kaum, oder nur mit erheblichem Aufwand feststellen, ob der Betreiber seine privaten Schlüssel wirklich ausgetauscht hat, oder nur die Lücke geschlossen hat.

      Auch wenn Dienste wie z.B. Amazon sagen, dass sie nicht betroffen seien, empfielt es sich – zumindest bei Diensten die persönliche Daten verwalten – in regelmäßigen Abständen Passwörter zu ändern. Ich versuche das bespw. vierteljährlich … meistens klappt es auch :)

  2. Auch von mir ein dickes Dankeschön für den extrem verständlichen Beitrag. Und, ertappt, mein Passwortmanagement ist stark verbesserungsfähig. ;-)
    Liebe Grüße,
    Eva

  3. Vielen Dank für den informativen Beitrag. Ich hoffe, bei mir ist alles einigermaßen sicher, zumindest wechsel ich regelmäßig meine Passwörter.
    Sei lieb gegrüßt
    Minnja

  4. Vielen Dank für die gut einleuchtende Erklärung. Jetzt hab auch ich einen besseren Überblick über das Thema. Mein Verhalten bzgl. Passwörtern ist, denke ich, auch noch änderungsbedürftig. Aber ich versuche schon, sie in regelmäßigen Abständen zu wechseln :)

  5. Danke für die Erklärung. Praktisch ist es für mich aber fast unmöglich monatlich alle Passwörter zu wechseln. Da wäre ich ein ganzen Tag nur
    damit beschäftigt.

  6. Thomas sagt

    Hallo, habe eine kurze Frage. Ich habe „keine“ eigene Webseite und nutze für all meine Passwörter einen Tresor – LastPass- genügt es wenn ich hier das Masterpasswort ändere oder müssen alle Passwörter aus dem Tresor geändert werden? Wäre sehr nett wenn ich eine kurze Info bekommen könnte. Vielen Dank vorweg und lg sowie schöne Ostertage. Tom

    • Herr S.

      Hallo Thomas,

      leider empfielt es sich, nicht nur das Master-Passwort zu ändern, sondern auch alle Passwörter in dem Tresor. Das Master-Passwort dient lediglich dazu, die im Tresor gespeicherten Passwörter zu verschlüsseln, damit ein „Dieb“ im Falle eines Datendiebstahls nicht gleich alle Passwörter im Tresor mit erbeutet. Du wirst leider nicht drumherumkommen, alle Passwörter im Tresor bei den entsprechenden Diensten zu ändern und diese dann im Tresor zu aktualisieren.

      Ich mache das immer so, dass ich mindestens drei Zeichen am Anfang und am Ende hinzufüge (z.B. ein „!#+“, oder ein „,-.“). Wichtig ist, dass man eine gewisse „Variation“ hineinbringt und diese nicht vergisst :)

      Viele Grüße!

      • Thomas sagt

        Herr S.

        Vielen Dank für die Info. Dann mach ich mich mal an die Arbeit.

        Wünsche dir schöne Ostertage

        LG
        Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.