openSSL Heartbleed

11.04.2014

Das Bekanntwerden des Datenlecks Heartbleed in der Heartbeatfunktion von openSSL hat in diesen Tagen für sehr viel Aufsehen gesorgt. 


Produkte von Schallcon Business Solutions sind von diesem Problem nicht betroffen, da wir keine openSSL-Funktionen in unseren Programmen verwenden.

Sollten Sie Software von uns auf einem Webserver verwenden, kontaktieren Sie bitte bei Bedarf Ihren Webserver-Administrator.

 

Kurzerläuterung der Funktionsweise des Fehlers namens Heartbleed

Wenn Computer miteinander kommunizieren, findet dies immer auf einem definierten, standardisierten Protokoll statt. Alle beteiligten Hardware- und Softwarekomponenten wissen also, was die anderen Komponenten von ihnen erwarten. Wenn zwei Computer auf einer gesicherten Basis miteinander Daten austauschen, vergewissern sich die beiden Rechner regelmäßig von der Anwesenheit des jeweils anderen. Dabei werden auch an sich unnütze Informationen hin- und hergeschickt.

 

Der Ablauf ist wie folgt: Computer A sagt Computer B, dass er 16 kB Informationen mitgeschickt hat. Computer B nimmt die Informationen, legt sie im Speicher ab und merkt sich den Anfangsort der Speicherung. Zum Zeitpunkt des Zurücksendens werden genau diese 16 kB aus dem Speicher zurückgeschrieben. Doof war nur, dass vorher nicht geprüft wurde, ob zu Beginn wirklich 16 kB vom Computer A angeliefert wurden. Wenn nämlich nur 1 Byte geliefert wurde, wurden annähernd 16 kB Informationen aus dem Speicher von Computer B an Computer A zurückgeschickt, die gar nicht von Computer A stammten.

 

Im Prinzip ist das so, als ob man ein Paar Schuhe zurücksenden will - zum Beispiel weil sie einem nicht gefallen - die man vorher bestellt hatte. Wenn nun der Karton sehr viel größer ist als die Schuhe, packt man zusätzlich noch alle möglichen Dinge aus dem eigenen Haushalt dazu, damit der Karton voll wird. Und weil gerade der Geldbeutel in der Nähe liegt, kommen so auch die eigenen Kreditkarten mit ins Paket. Und die Bilder der Familie. Eben bis der Karton voll ist.

 

Im Falle von Heartbleed sind die zusätzlich zurückgeschickten Objekte keine Gegenstände oder Zahlungsmittel, sondern Daten. Und da openSSL nur Daten aus dem von ihm selbst verwalteten Datenbereich des Computers verschickt, sind dies bei Heartbleed ausgerechnet solche Informationen, die man auf gar keinen Fall von jedem lesbar zurücksenden möchte. Nämlich Passwörter und vorher verschlüsselt gesendete Daten, die jetzt unverschlüsselt zurückgesendet werden.

 

Weiterführende Links:

 

OpenSSL The Open Source Toolkit

OpenSSL - open Source Webseite

 

OpenSSL - Wikipedia

Wikipedia-Information über openSSL

 

Auf der Webseite von Heise Security wird die Sicherheitslücke technisch tiefgreifender erläutert:

Der Heise Verlag erklärt Heartbleed