Der Heartbleed Bug wird zurecht von vielen als der „GAU des Internets” bezeichnet. Hierdurch wurden alle verschlüsselten Verbindungen, die von dem Bug betroffen waren, plötzlich unsicher. Betroffene Webserver müssen als unsicher gelten bis das Problem behoben ist. Technische Details zum Bug gibt es bei Heise und auch XKCD hat es wieder einmal mit einem anschaulichen Comic gut auf den Punkt gebracht.
Als die Kollegen am Dienstag ins Büro kamen, trudelten bereits die ersten Meldungen über einen der folgenschwersten Bugs aus jüngerer Zeit ein: Heartbleed – ein Fehler in einer Softwarebibliothek, der dazu führte, dass ein sogenannter „Heartbeat” (daher der Name „Heartbleed”) nicht nur zum Aufrechterhalten einer Verbindung sorgte, sondern auch ungewollt Teile des Arbeitsspeichers vom Server mitlieferte. Das perfide an diesem Fehler ist, dass hier nicht nur der private Schlüssel des Webservers erlangt werden kann, womit der gesamte verschlüsselte Verkehr des Servers entschlüsselt werden kann. Vielmehr kann hierüber auch ganz ohne Umwege verschlüsselter Inhalt vom Server abgegriffen werden. Und das auch noch in nahezu beliebiger Menge. Spätestens jetzt brauchte niemand mehr einen Morgenkaffee zum Wachwerden.
Wir haben gleich reagiert und vorsichtshalber ausgetauscht
Konkret ist es so, dass OpenSSL ab Version 1.01 aus dem Jahr 2011 betroffen ist. Wir setzen auf allen Servern im Webhosting allerdings OpenSSL 0.9.8o ein, das von diesem Fehler nicht betroffen ist. Daher können wir ausschließen, dass unser Webhosting davon betroffen ist. Auch auf unseren Mailservern stellt sich das Problem zum Glück nicht. Es ist zwar so, dass dort eine Version von OpenSSL im Einsatz ist, die diesen Bug aufweist. Jedoch verwenden wir für den Mailtransport das Programm Exim. Da Exim aber nicht auf OpenSSL zurückgreift, sondern hier GnuTLS einsetzt, sind wir auch hier nicht von Heartbleed betroffen.
Da wir aber auf einigen internen Systemen dennoch eine anfällige Version von OpenSSL im Einsatz hatten, entschlossen wir uns dazu, hier auf Nummer sicher zu gehen und jedes Risiko auszuschließen. Daher haben wir zuerst alle Systeme aktualisiert und dann unsere Zertifikate ausgetauscht. Da bei uns nur sehr wenig Systeme betroffen waren, konnten wir am Nachmittag bereits Entwarnung geben: Heartbleed war damit erledigt.
Für Kunden, die bei uns eigene Systeme verwalten, können wir folgende Tipps geben:
- Schauen Sie hier bei Heise einmal, ob Sie betroffen sind
- Sollte das der Fall sein, ist es ratsam, erst einmal das System zu aktualisieren
- Danach sollten Sie alle aktuellen Zertifikate zurückzuziehen („revoken”) und neu ausstellen
- Womöglich sollten betroffene Benutzer auch einmal ihre Passwörter ändern
Unterm Strich: (fast) kein Problem gehabt und schnell reagiert
Heartbleed ist tatsächlich ein ganz übler Bug und sämtliche benutzten Zuschreibungen wie GAU oder Horror-Bug werden dem tatsächlich gerecht. Viel schlimmer als mit diesem Fehler hätte es gar nicht kommen können, zumal niemand im Nachhinein sagen kann, seit wann diese Lücke ausgenutzt wurde. Das Ausnutzen dieses Bugs hinterlässt nämlich in keinem Logfile auch nur eine Spur. Es ist theoretisch denkbar, dass hier sehr viele Daten durch Dritte erlangt wurden ohne dass jemand auch nur einen Verdacht geschöpft hat.
Wir haben zum Glück eine schnelle Übersicht bekommen und festgestellt, dass wir fast kein Problem hatten. Dennoch haben wir nun auch jedes Restrisiko ausgeschlossen, so dass keine Folgen zu erwarten sind. Wir sind uns deshalb sicher, dass unsere Webhosting Kunden nicht betroffen sind.