Der Heartbleed-Bug ist eine Sicherheitslücke in der kryptografischen Bibliothek OpenSSL, die es Angreifern ermöglicht, unsichtbar sensible Daten von einem Webserver zu lesen. Dazu gehören möglicherweise kryptografische Schlüssel, Benutzernamen und Passwörter. Weitere Informationen und häufig gestellte Fragen finden Sie in der ersten Offenlegung.
UPDATE: Wir haben unsere umfassende Analyse der Heartbleed-Schwachstelle veröffentlicht, Die Sache mit Heartbleed. Die Arbeit wird auf der ACM SIGCOMM Internet Measurement Conference (IMC'14) am 7. November 2014 in Vancouver, Kanada, offiziell vorgestellt. Diese Analyse enthält aktualisierte Informationen, die diese Website ersetzen.
Wer ist gefährdet?
Um herauszufinden, wer für den Heartbleed-Bug anfällig ist, haben wir umfassende Scans des IPv4-Adressraums mit ZMap durchgeführt und regelmäßig den Status der Alexa Top 1 Million Domains überprüft. Mit Stand vom Mittwoch, 16. April 2014, 16:00 Uhr EDT, haben wir festgestellt, dass 45 % der Alexa Top 1 Million Websites TLS unterstützen. Von den Websites, die HTTPS unterstützen, sind 5,2 % verwundbar, 32 % unterstützen sicher die Heartbeat-Erweiterung und 63 % unterstützen die Heartbeat-Erweiterung nicht (und sind daher sicher). Informationen zu beliebten Websites, die betroffen waren, aber nicht mehr angreifbar sind, finden Sie in der Heartbleed-Hitliste von Mashable : The Passwords You Need to Change Right Now. Wenn Sie sich Sorgen machen, dass eine bestimmte Website anfällig ist, können Sie diese Website mit dem Qualys SSL Server Test testen. Wenn Sie ein Systemadministrator sind, hat die EFF Heartbleed Recovery for System Administrators mit Informationen zum Schutz von Diensten veröffentlicht.
UPDATE (4/11/14 10:00 PM EDT): Es gibt jetzt Hinweise darauf, dass es möglich ist, private Schlüssel von den Webservern zu extrahieren, die von der Heartbeat-Schwachstelle betroffen waren. Wir haben eine Liste veröffentlicht, aus der hervorgeht, wann die Zertifikate der einzelnen Websites zum ersten Mal in freier Wildbahn gesehen wurden. Leider hat es den Anschein, dass fast 25 % der 1.000 wichtigsten Websites, auf denen Software läuft, die möglicherweise von der Heartbeat-Schwachstelle betroffen ist, Zertifikate von vor dem 1. April 2014 verwenden.
UPDATE (4/13/14 1:00 PM EDT): Die meiste Aufmerksamkeit im Zusammenhang mit der Heartbeat-Schwachstelle wurde Webservern gewidmet, die OpenSSL verwenden. Viele andere Arten von Diensten nutzen jedoch TLS und OpenSSL, um sensible Kommunikation zu verschlüsseln, darunter E-Mail, Instant Messaging und Voice-over-IP (VoIP). Wir haben damit begonnen, nach anfälligen SMTP-, IMAP- und POP3-Servern zu suchen. Etwa 7,6 % der unter mail.domain und smtp.domain gehosteten Mailserver der Alexa Top 1 Million sind noch immer anfällig.
UPDATE (14.4.14 18:00 UHR EDT): Am Montagnachmittag wurden wir darauf aufmerksam gemacht, dass mehrere sichere Mailserver in einem unserer jüngsten Scans fälschlicherweise als anfällig eingestuft wurden. Wir haben den Fehler inzwischen gefunden und die aktualisierten Ergebnisse veröffentlicht. Wir danken Scott Thorson, dass er uns auf diesen Fehler aufmerksam gemacht hat.
Vollständige Scans von HTTPS für die gesamte IPv4-Adresse zeigen, dass etwa 4,9 % aller Hosts, die HTTPS unterstützen, anfällig sind. 6,0 % unterstützen Heartbeat-Nachrichten, sind aber nicht angreifbar, und 89,1 % der HTTPS-Hosts unterstützen kein Heartbeat. Insgesamt sind etwa 1,4 Millionen Webserver angreifbar. Zu diesem Zeitpunkt veröffentlichen wir keine vollständigen internetweiten Scans.
Historischer Trend der anfälligen HTTPS-aktivierten Alexa Top 1 Million Websites
Gibt es aktive Angriffe?
Wir haben eine kleine Anzahl von Hosts beobachtet, die nach der Sicherheitslücke scannen. Es ist jedoch schwierig, die Absicht dieser Scanner zu erkennen. Es ist zwar möglich, dass Angreifer nach Hosts suchen, die sie kompromittieren können, aber es ist auch möglich, dass diese Scans von Forschern durchgeführt werden.
UPDATE (4/10/14 7:30 PM EDT): Wir haben historische Daten zu HTTPS-Verbindungen von einer IP-Adresse abseits der üblichen Wege seit dem 22. November 2013. Wir beobachteten den ersten Scan-Versuch zur Ausnutzung der Schwachstelle am 2014-04-09 um 00:23 UTC von 183.60.244.44 (einer Adresse in China, die mit bösartigen Aktivitäten in Verbindung gebracht wird). Ein zweiter Versuch, die Schwachstelle auszunutzen, wurde am 10.04.2014 um 02:04 Uhr GMT und erneut um 02:58 Uhr UTC von der IP-Adresse 54.200.211.227 (einer Amazon EC2-Instanz) beobachtet. Da es sich bei unserer Honeypot-Adresse nicht um einen großen Standort handelt, vermuten wir, dass diese Angriffsversuche Teil von internetweiten Ausnutzungsversuchen waren. Wir haben vor der öffentlichen Bekanntgabe des Fehlers keine derartigen groß angelegten Angriffe beobachtet. Wir können jedoch nicht ausschließen, dass es zuvor gezielte Angriffe auf bestimmte Websites gegeben hat.
UPDATE (4/15/14 2:00 PM EDT): Wir haben 41 einzelne Hosts beobachtet, die nach der Heartbeat-Schwachstelle scannen und versuchen, diese auszunutzen. Diese Angriffe wurden auf drei abgelegenen Honeypots entdeckt, die wir verwalten. Von diesen 41 Hosts befanden sich 59 % in China und waren für 45 % der Angriffe verantwortlich. Der erste Angriff wurde um 1539 GMT am 8. April 2014 entdeckt. Da unsere Honeypots auf abgelegenen Hosts und nicht auf einer großen Website gehostet werden, ist es sehr wahrscheinlich, dass diese Hosts umfassende Scans oder Scans eines großen Teils des Internets durchführten. Die meisten Daten, die von einem einzelnen Scanner abgerufen wurden, waren 300 KB.
Wer steckt hinter dieser Forschung?
Dieser Bericht wurde von Informatikern der University of Michigan, darunter Zakir Durumeric, David Adrian, Michael Bailey und J. Alex Halderman, erstellt. Das Team kann unter heartbleed@umich.edu kontaktiert werden .
