Der Heartbleed Bug ist eine OpenSSL-Sicherheitsanfälligkeit, mit der böswillige Hacker Informationen von Websites stehlen können, die normalerweise durch die SSL / TLS-Verschlüsselung geschützt sind. Die Open Source OpenSSL-Kryptografiebibliothek wird verwendet, um das TLS-Protokoll (Transport Layer Security) des Internets zu implementieren.
Mit dem Heartbleed Bug, der von den Forschern benannt wurde, die die Sicherheitslücke entdeckt haben, kann theoretisch jeder im Internet auf einen sicheren Webserver zugreifen, auf dem bestimmte Versionen von OpenSSL ausgeführt werden, um Site-Verschlüsselungsschlüssel, Benutzerkennwörter und Site-Inhalte zu erhalten.
Entsprechend der offizielle Heartbleed Bug Website, OpenSSL 1.0.1 bis 1.0.1f (einschließlich) sind anfällig, während OpenSSL Version 1.0.1g die Sicherheitslücke behebt.
Heartbleed Flaw Creation und Bug Discovery
Der Heartbleed-Fehler wurde ursprünglich von Google-Ingenieur Neel Mehta und der finnischen Sicherheitsfirma Codenomicon entdeckt. Die Sicherheitslücke wurde vom deutschen Softwareentwickler Robin Seggelmann im Open-Source-OpenSSL-Verschlüsselungsprotokoll eingeführt. Seit der Bekanntheit des Fehlers bekannt ist, hat Seggelmann gesagt, dass der Fehler von ihm und einem anderen Code-Prüfer versehentlich übersehen wurde und der Fehler trotz Online-Verschwörungstheorien zu Heartbleed, wie der NSA, die den Heartbleed-Fehler zum Ausspionieren verwendet, nicht böswillig eingefügt wurde.
Der Heartbleed Bug in den Nachrichten
Heartbleed Bug Gerüchte
RCMP forderte Revenue Canada auf, die Nachricht von SIN-Diebstählen zu verschieben
Heartbleed Bug beißt Millionen von Android-Handys
Heartbleed-Fehler: Was ist betroffen und welche Passwörter müssen geändert werden?e
Tests bestätigen, dass der Heartbleed-Fehler den privaten Schlüssel des Servers offenlegen kann
Herzblutangriffe
Es gibt nur wenige dokumentierte Fälle von Angriffen, bei denen der Heartbleed-Fehler ausgenutzt wird. Sicherheitsexperten warnen jedoch davor, dass die Verwendung des Fehlers keine Spuren hinterlassen würde und alle Websites, die die betroffenen OpenSSL-Versionen verwenden, als gefährdet angesehen werden sollten.
Während viele große Websites, darunter Google, Facebook und andere, schnell feststellten, dass Dienste vor Heartbleed „sicher“ sind, scheint die öffentliche Ankündigung am 8. April 2014 Angriffe ausgelöst zu haben. Die kanadische Finanzbehörde (CRA) hat die öffentlichen Onlinedienste geschlossen, um den Fehler zu beheben. Vor der Implementierung des Fixes gab die CRA jedoch an, dass 900 Sozialversicherungsnummern von Personen, die den Heartbleed-Fehler ausnutzen, von CRA-Computern gestohlen wurden.
Bei einem anderen gemeldeten Angriff wurde die in Großbritannien ansässige Eltern-Website Mumsnetbehauptet auch, einen Verstoß erlebt zu haben, bei dem der Infiltrator behauptete, Heartbleed für den Zugriff auf ein Konto verwendet zu haben. Die Site stellte ihren Benutzern einige Details sowie Anweisungen zum Zurücksetzen von Site-Passwörtern zur Verfügung.
Herzblut: Jenseits des Internets
Der Heartbleed-Fehler geht über das Internet hinaus. Auf mobilen Geräten mit dem Android-Betriebssystem 4.1.1 (veröffentlicht 2012) ist beispielsweise der Heartbleed-Softwarefehler aufgetreten. Alle anderen Versionen sind gegen den Fehler immun, aber dies macht Millionen von Smartphones und Tablets anfällig. Darüber hinaus sind Betriebssysteme wie Debian Wheezy (stabil), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 und OpenSUSE 12.2 Versionen, die mit einer anfälligen OpenSSL-Version ausgeliefert wurden (siehe vollständige Liste).