Ein Rückblick auf Schwachstellen und Angriffe im Jahr 2014

Herzbluten, ein bissiger Poodle und Co.
Kommentare

Noch nie war es mit der Sicherheit im Internet so schlecht bestellt wie 2014. Jedenfalls gewinnt man diesen Eindruck, wenn man die ganzen Vorfälle im vergangenen Jahr betrachtet. Inzwischen gibt es sogar eine Website, die laufend die Frage „Is The Internet On Fire?“ beantwortet. Ganz vorne mit dabei: OpenSSL und SSL/TLS allgemein. Wir blicken zurück.

Zwar steht nicht das ganze Internet in Flammen, aber es kokelt doch an etlichen Ecken. Leider mal wieder an vorderster Front involviert: SSL/TLS. Dass das dafür verwendete Zertifizierungssystem eher einem brennenden Kartenhaus als der nötigen stabilen Festung gleicht, mussten wir ja schon 2011/2012 zur Kenntnis nehmen. 2014 waren erneut die Protokolle selbst sowie ihre Implementierungen die Quelle des Übels. Los ging es mit OpenSSL und ganz viel Herzblut.

Der Heartbleed-Bug in OpenSSL

Am 7. April 2014 wurde von OpenSSL ein Security Advisory zu einer neu behobenen Schwachstelle mit der CVE-ID CVE-2014-0160 veröffentlicht, die folgenermaßen beschrieben wurde: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Eine parallel veröffentlichte Website einiger Entdecker des Sicherheitsrisikos machte dann schnell deutlich, dass die Schwachstelle das Potenzial hat, zu einem großen Problem zu werden. Nebenbei bekam die Entdeckung im Gegensatz zu den meisten anderen sogar einen eigenen Namen: Heartbleed-Bug. Der Heartbleed-Bug basiert auf einer fehlenden Bereichsprüfung in der Heartbeat-Funktion. Ein Angreifer kann darüber einen „buffer over-read“ auslösen. Als Antwort auf einen präparierten Heartbeat-Request sendet OpenSSL bis zu 64 KB Speicherinhalte an den Angreifer. Dieser Speicher kann unter anderen den privaten Schlüssel des Servers, Sessionschlüssel oder über TLS übertragene Zugangsdaten enthalten. Der Angriff kann ggf. wiederholt werden, um weitere Speicherbereiche auszulesen. Das ist schlimm, sehr schlimm. Oder wie Bruce Schneier es formuliert hat, eine Katastrophe: „‘Catastrophic’ is the right word. On the scale of 1 to 10, this is an 11.“

Lesen Sie den kompletten Artikel im Entwickler Magazin 1.15

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -