SBA Research führte eine Analyse über österreichische Webseiten und deren Behebung der Heartbleed-Schwachstelle durch. Das Resultat ist ernüchternd: 65 Prozent haben die SSL-Zertifikate nicht aktualisiert, sechs Prozent trafen falsche Maßnahmen. [...]
Das österreichische COMET-Kompetenzzentrum SBA Research hat aufgrund der weiterhin aktuellen Bedrohungslage durch die Heartbleed-Schwachstelle eine Analyse über die Behebung dieser Schwachstelle hierzulande durchgeführt. Für die Administratoren der betroffenen Server sei es nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern, so die Experten. Letzteres wurde in dieser Studie überprüft.
Als Basis für die Studie wurden jene IP-Adressen bzw. Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet haben und auf die Heartbleed-Schwachstelle anfällig waren (dies waren SBA Research zufolge über 5.600 IP-Adressen). Es wurden jene IP-Adressen aussortiert, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Dies erfolgte unter der Annahme, dass Webseiten, die für die öffentliche Benutzung gedacht sind, auch ein offiziell gültiges Zertifikat installiert haben. Dabei blieben am Ende 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.
SBA Research kam dabei zum Ergebnis, dass viele der am 9. April betroffenen, aktiven österreichischen Seiten (503 IP-Adressen) die SSL-Zertifikate entweder gar nicht (328 IP-Adressen, etwa 65 Prozent) oder ohne Neugenerierung der kryptografischen Schlüssel (30 IPs, etwa 6 Prozent) aktualisiert haben. Von jenen 35 Prozent also, die das SSL-Zertifikat erneuert haben, hat in etwa jeder fünfte Administrator falsche Maßnahmen getroffen. Das bedeutet konkret, dass zwar ein neues SSL-Zertifikat erstellt wurde, jedoch das alte Schlüsselpaar wiederverwendet wurde. „Da die Heartbleed-Lücke ein Auslesen des privaten Schlüssels ermöglicht, ist es unerlässlich, auch das Schlüsselpaar neu zu generieren“, so SBA Research in einer Aussendung.
Insgesamt sind also noch mehr als zwei Drittel der Server von den Auswirkungen von Heartbleed betroffen, obwohl bei vielen davon die betroffene Software aktualisiert wurde. Falls bei diesen Seiten durch Ausnutzen der Heartbleed-Schwachstelle private Schlüsselinformationen vom Server ausgelesen wurden, kann trotz Erneuern des Zertifikates nach wie vor verschlüsselter SSL-Datenverkehr durch Man-in-the-Middle-Angriffe entschlüsselt und verändert – und damit unter Umständen sensible Informationen wie Passwörter – ausgelesen werden.
SBA Research empfiehlt allen Administratoren, deren Seiten von der Heartbleed-Schwachstelle betroffen waren, die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials zu überprüfen.
Detaillierte Information zur Heartbleed-Schwachstelle stellt SBA Research in einem Whitepaper (PDF-Download) zur Verfügung. (pi/rnf)
Be the first to comment