Heartbleed Exploit: Der SSL GAU

Wie jetzt bekannt wurde, funktioniert der Heartbleed Exploit aufgrund einer Lücke in der Umsetzung der Heartbeat Erweiterung des TLS Protokolls in OpenSSL. Dieser Programmierfehler ist als äußerst ernst und schwerwiegend zu betrachten.

Der Heartbleed Exploit hat zur Folge, dass Daten im Speicher von Computersystemen auf denen OpenSSL zum Einsatz kommt massiv gefährdet sind. Die eigentliche Aufgabe der Heartbeat-Erweiterung ist es, die TLS Verbindung zwischen Server und Client aufrecht zu erhalten.

Die Funktionsweise ist folgendermaßen: Ein Kommunikationspartner schickt ein Heartbeat-Paket an den anderen Kommunikationspartner. Dieses Paket besteht zum einen aus der Angabe zur Größe des Pakets und zum anderen aus einer beliebigen Payload. Der Kommunikationspartner schickt als Antwort die Payload mit identischem Inhalt wieder zurück. Diese zeigt, dass die Verbindung in Ordnung ist und durch das Heartbeat-Signal wird verhindert, dass Router und andere Netzwerkkomponenten die Verbindung beenden, weil über diese keine Daten mehr gesendet wird.

Das Problem besteht nun darin, dass durch einen Programmierfehler in OpenSSL nicht überprüft wird, wie groß die gesendete Payload überhaupt ist. Ein Angreifer kann nun einen höheren Wert bei der Größenangabe senden als tatsächlich in der Payload des Heartbeat-Paketes enthalten ist. Dadurch ließt OpenSSL neben der eigentlichen Payload weitere Daten aus dem Speicher (bis maximal 16KB). Diese können dann sensible Daten wie Passwörter und geheime Schlüssel enthalten. Im Gegensatz zu aktiven Einbrüchen in Computersysteme hinterlässt dies kaum Spuren auf dem angegriffenen Rechner.

Da der Heartbleed Exploit in beide Richtungen funktioniert, können damit theoretisch nicht nur Server sondern auch Clients angegriffen werden. So sind im Prinzip alle Systeme angreifbar, auf denen die fehlerhafte Version von OpenSSL zum Einsatz kommt, also auch Smartphones. In Anbetracht der Verbreitung dieser Open Source Bibliothek, hat dieser verhältnismäßig simple Programmierfehler äußerst weitreichende Folgen. Mittlerweile wurden jedoch viele System auf eine neue sichere Version aktualisiert und zum Teil sind noch ältere Versionen von OpenSSL im Einsatz, die nicht vom Heartbleed-Exploit betroffen sind.

(Tarifecheck MA)