Skip to content

So funktioniert der Heartbleed Bug

Von dem Heartbleed Bug in OpenSSL hast du vielleicht gehört, einfach gesagt ist es ein Fehler in der zentralen Verschlüsselungsbibliothek die in so gut wie allem was mit “Online” zu tun hat benutzt wird.
Der Fehler steckt in der recht neuen “Heartbeat” (Herzschlag) Funktion mit der man überprüfen kann ob die andere Seite noch da ist. Dabei schickt die eine Seite an die Andere eine Nachricht wie “Wenn Du noch da bist, dann antworte mit “JA”, das sind 2 Zeichen”. Und die andere Seite antwortet mit “JA”. Das Problem ist jetzt, dass sie nicht nachguckt wie lang der Text wirklich ist der geantwortet werden soll sondern die Angabe der anderen Seite glaubt. Und die kann nun auch sagen “[…]dann antworte mit “JA”, das sind 500 Zeichen” und die Gegenstelle antwortet mit “JA” und den nächsten 498 Zeichen die sie gerade im Speicher hat. Und das sind bei der Verschlüsselungsbibliothek halt Dinge die eigentlich geheim sind.

Randall Munroe von XKCD hat das in einem Comic veranschaulicht:XKCD Heartbleed Erklärung

Eigentlich müsste man (ich) das mal übersetzen, mal sehen ob das schon jemand gemacht hat oder ob ich am Wochenende dazu komme…

OpenSSL/SSH keys testen

Linux

In Debian und derivaten wie Ubuntu ist ja die Tage eine Schwachstelle bei OpenSSL bekannt geworden. Heise beschreibt ausführlich das Problem, Tests und Abhilfe, wer erstmal auf die Schnelle das SSH seine® System(e) testen will kann sich diesem Link bedienen: serversniff.net/sshreport.php.
Aber vorsicht: Der Test findet viele aber nicht alle verwundbaren keys. Da zumindest mir die Urheber der Seite unbekannt sind sollte man abhängig vom grad der persönlichen Paranoia keine wichtigen Firmenserver testen lassen. Eine gründliche Überprüfung ist da eh Pflicht.