Skip to Main Content

Breadcrumb

Heartbleed - Was müssen Sie machen?

OpenSSL Bug Heartbleed

Heartbleed sorgt im Moment für eine unvorhergesehene Menge Streß für alle - egal ob Administratoren oder auch Privatpersonen - praktisch jeder ist betroffen, sofern Mann/Frau dem Internet nicht großräumig ausweicht.

In diesem Artikel versuchen wir einige wichtige - und aus unserer Sicht essentielle - Informationen zusammen zu fassen.

Heartbleed - das Problem

Das Problem an Heartbleed ist, dass sich in einer Open Source Software, die sehr, sehr oft und gerne eingesetzt wird, in der Version 1.0.1 ein Bug eingeschlichen hat, der es ermöglicht, beim SSL-Verbindungsaufbau Daten von der jeweiligen anderen Seite auszulesen. Dabei kann es sich sowohl um das SSL Zertifikat für die Verbindung als auch "nur" um Benutzer und deren Passwörter handeln.

Für Technikinteressierte gibt es dazu sowohl im Deutschen als auch im Englischen Wikipedia sehr gute Artikel.

Heartbleed - die Auswirkung

Durch entsprechend geschriebene Programme wurde nachweislich versucht, diese Security Lücke auszunutzen und Benutzerdaten zu sammeln, bevor die Lücke geschlossen wurde. Da dabei auch das SSL Zertifikat selbst ausgelesen worden sein kann, werden gerade sehr, sehr viele SSL Zertifikate ausgetauscht - das Problem dabei ist, dass die alten (komprimitierten) Zertifikate nicht einfach und schnell für ungültig erklärt werden können und somit immer noch eine Gefahr zB: für Phishing Attacken darstellen.

Heartbleed - der Patch und sichere Versionen

Alle Versionen von OpenSSL bis inkl. 1.0.0 sind sicher. Für 1.0.1 gibt es den Patch mit der Version 1.0.1g. Die 1.0.2-beta ist komplett betroffen und sollte nicht eingesetzt werden.

Was muss Mann/Frau jetzt machen?

Sich NEUE Passwörter ausdenken und Passwörter überall ändern - auch wenn der Anbieter nicht von Heartbleed betroffen ist, kann dass Passwort ja möglicherweise (sofern es ident war) von einer betroffenen Seite ausgelesen worden sein.

Auf mashable.com finden Sie eine Liste der populärsten Internet Anbieter und Seiten mit deren Aussagen zu diesem Bug - bei vielen wird empfohlen, das Passwort zu ändern. Darunter befinden sich unter anderem Facebook, Instagram, Tumblr, Google, Yahoo, Gmail, Amazon Web Services, usw.

Was müssen AdministratorInnen jetzt machen?

Für alle im Unternehmen eingesetzte Produkte verifizieren, ob diese betroffen sind und entsprechend Patches vom Hersteller anfordern/einspielen.

Reicht es die Services, die via Internet erreichbar sind, zu schützen?

Nein, definitiv nicht - es gibt schon Hinweise, dass auch Trojaner und BotNetze versuchen, den Heartbleed Bug auszunutzen - das bedeutet, ein übernommener Client PC im Unternehmensnetzwerk kann Ihre verwundbaren Systeme ansprechen!

Hier die Informationen für einige - aus unserer Sicht sehr wichtige - Systeme.

System Analyse, Patches und was Sie machen müssen
Linux

OpenSSL ist extrem weit verbreitet und praktisch auf jeder Installation zu finden - solange keine SSL Verbindung aufgebaut wird, sollte es kein Problem sein, aber können Sie 100% sicher sein, dass nie jemand einen SSL Listener oder eine SSL Verbindung aufbaut?
 

Kontrollieren:

rpm -qa | grep openssl

openssl-1.0.0-20.el6_2.5.x86_64

In diesem Beispiel wären Sie auf der sicheren Seite. Finden Sie aber openssl-1.0.1... müssen Sie den entsprechenden Patch besorgen und installieren. Oracle hat bei Oracle Enterprise Linux den Patch übrigens in die Version openssl-1.0.1e-16.7.el6_5.7.x86_64 portiert! Somit ist die mittels YUM UPDATE gefundene Version 1.0.1e-16.el6_5.7 sicher!

OracleVM Es gilt das Gleiche wie für Linux allgemein. Bei den von Oracle ausgelieferten OVM Server ISOs wird openssl bis inkl. 1.0.0 verwendet. Der OVM Manager wird jedoch auf ein bestehendes Linux eingespielt - hier besteht die Möglichkeit, dass eine verwundbares OpenSSL Version zum Einsatz kommt. Das gleiche gilt für jene, die RPM Packages nachinstalliert haben.
Andere Produkte von Oracle Information finden Sie auf der Oracle Homepage.
VMware ESXi Hypervisor Sie müssen zuerst auf ESXi 5.5 Update 1 updaten und dort noch einen Patch einspielen. Weitere Informationen finden Sie auf der hier auf der VMware Homepage. Eine Liste der anderen betroffenen Produkte von VMware gibt es hier.
Storage Hersteller Praktisch jeder Storagehersteller hat Produkte, die betroffen sind. NetApp pflegt dazu beispielsweise einen Artikel.

Gibt es eigentlich einen wirksamen Schutz vor Heartbleed Attacken?

Die Frage stellt sich vor allem dann, wenn der Softwareanbieter nicht schnell genug Patches bereit stellt oder es zu lange dauert diese zu installieren.

Die erfreuliche Antwort: Ja, man kann

Wie Sie die Lösungen von Imperva vor dem OpenSSL Security Bug Heartbleed schützen.

Imperva bietet gleich mit zwei Produkten einen Schutz vor Attacken, die Heartbleed ausnutzen wollen.

  • Als Teil der SecureSphere WAF (Web Application Firewall) kann man seit dem 10. April entsprechende Attacken blocken.
  • Nutzer von Incapsula - der Cloud Lösung von Imperva - sind ebenfalls seit 10. April automatisch geschützt.

Wenn Sie Interesse an Imperva Produkten oder Lösungen haben, stehen wir Ihnen jederzeit gerne zur Verfügung.