Heartbleed-Probleme – reichlich vorhanden
Einen Monat, nachdem der Heartbleed-Bug öffentlich bekannt geworden war, sind laut Berichten der Netcraft-Experten immer noch etwa die Hälfte aller betroffenen Systeme ungepatcht. 43 % haben demnach neue Zertifikate herausgegeben, 7 % davon mit unveränderten Schlüsseln. Nur 14 % haben genau das getan, was die einzige logische Lösung ist, nämlich neue Zertifikate mit neuen Schlüsseln herauszugeben.
Andere Informationen aus der Untersuchung von Netcraft bestätigen, dass mehr als 30.000 TLS/SSL-Zertifikate mit genau den gleichen Schlüsseln wieder ausgegeben wurden. Auch sind neue Server online gegangen, die eine unsichere Version der Krypto-Software-Bibliothek verwenden. Außerdem wurden noch einige industrielle Kontrollsystem-Produkte gefunden, die anfällig auf Heartbleed sind.
Allerneuesten Meldungen zur Folge haben dusselige Administratoren im ersten Monat nach Heartbleed ihre eigentlich zuvor sicheren Seiten anfällig gemacht – davon sind etwa 2.500 Webseiten betroffen. Der ehemalige Opera Softwareentwickler Yngve Petterson hatte das Schlamassel entdeckt. Vermutlich hatten die Administratoren in einem Anfall von Panik ihre Systeme schnell aktualisiert und so alles verschlimmert. Es ist schwer zu sagen, ob die Medienberichte diese Administratoren verunsichert hatten oder einfach administrativer „Druck“ der Grund war.
Nach Pettersons Hochrechnung kosten diese Fehltritte ihrer Administratoren allen Unternehmen zusammengenommen etwa 1,2 Mio. US-Dollar. Und es betraf nicht nur kleine Unternehmen, wie sich herausstellte. Sowohl die kanadische Regierung wie auch die Quebec Automobile Insurance Corporation hatten nach der Aktualisierung ihrer Systeme dieselben privaten Schlüssel verwendet. Solche Fehler könnten durch Zertifikat-Behörden verhindert werden. Wenn öffentliche Schlüssel von Zertifikaten auf die schwarze Liste gesetzt würden, würden erneute Anfragen mit den gleichen Schlüsseln sofort abgelehnt werden. Petterson stellte fest, dass die Software-Aktualisierung nur kurzfristig anzog und dann fast keine mehr erfolgte.
Internet-Anwender verlassen sich auf das Zertifikat, um die Identität von sicheren Webseiten zu verifizieren. Die SSL-Zertifikate enthalten einen öffentlichen Schlüssel, der von einem verknüpften privaten Schlüsseln generiert wird. Zu Beginn der sicheren Verbindung weist der Server nach, dass er den privaten Schlüssel besitzt, indem er die Mitteilung mit dem öffentlichen Schlüssel verschlüsselt oder indem er die eigenen Mitteilungen kryptografisch signiert. Den privaten Schlüssel geheim zu halten, ist überaus wichtig. Sollte ein Angreifer es schaffen, diesen Schlüssel zu stehlen, kann er sich als sichere Webseite ausgeben, sensible Informationen entschlüsseln oder eine Man-in-the-middle-Attacke durchführen.
Artikel von zdnet.com, 09.05.2014: Many sites reusing Heartbleed-compromised private keys
Artikel von theregister.co.uk, 09.05.2014: Silly sysadmins ADDING Heartbleed to servers
Artikel von netcraft.com, Mai 2014: Keys left unchanged in many Heartbleed replacement certificates!