zurück zum Artikel

Spionage-Botnet nutzte Heartbleed-Lücke schon vor Monaten aus

Bereits im November hat ein auf Spionage ausgelegtes Botnet offenbar versucht, durch die OpenSSL-Lücke Daten abzugreifen – möglicherweise im Auftrag eines Geheimdienstes. Die gute Nachricht ist: Die Anzahl der noch verwundbaren Server ist rückläufig.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

mehr anzeigen

Die fatale Heartbleed-Lücke in OpenSS [7]L wird möglicherweise schon seit Monaten ausgenutzt. Der Gründer der niederländischen Firma MediaMonks hat bereits im November vergangenen Jahres [8] verdächtige SSL-Handshakes aufgezeichnet, bei denen der Heartbleed-Angrifffscode genutzt wurde, wie die Electronic Frontier Foundation (EFF) berichtet [9].

Die Datenpakete stammen von den IP-Adressen 193.104.110.12 und 193.104.110.20, die anscheinend zu einem größeren Botnet gehören. Dieses wurde bislang genutzt, um systematisch Unterhaltungen in IRC-Netzwerken aufzuzeichnen [10]. Nach Einschätzung der EFF ist dies ein Indiz dafür, dass es sich eher um einen Geheimdienst als um Cyber-Kriminelle mit kommerziellen Interessen handelt.

Die EFF ruft Server-Betreiber jetzt dazu auf, ihre Logs nach der TCP-Payload 18 03 02 00 03 01 40 00 oder 18 03 01 00 03 01 40 00 zu durchsuchen. Der Wert 0x4000 am Ende könne unter Umständen auch durch eine niedrigere Nummer ersetzt worden sein. Darüber hinaus können auch weitere Log-Einträge aus dem IP-Adressbereich 193.104.110.* interessant sein.

Unterdessen geht die Anzahl der immer noch verwundbaren Server zurück. Bei einer erneuten Überprüfung [11] der 10.000 meistbesuchten Websites am Donnerstagnachmittag waren 150 anfällig. Zwei Tage zuvor war noch die vierfache Menge [12] angreifbar. Die Wahrscheinlichkeit, dass die übrigen Seiten überhaupt noch abgesichert werden, ist allerdings gering: Betreiber, die trotz des ernormen Medienechos jetzt noch nicht von dem SSL-GAU erfahren haben, werden es vermutlich auch in Zukunft nicht mitbekommen.

Wie erschreckend einfach der Heartbleed-Exploit funktioniert, zeigt ein Hintergrundartikel von heise Security:

(rei [14])


URL dieses Artikels:
http://www.heise.de/-2167934

Links in diesem Artikel:
[1] https://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/meldung/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] https://www.heise.de/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[8] https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013
[9] https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013
[10] https://botmonitoring.github.io/
[11] https://github.com/musalbas/heartbleed-masstest/blob/master/top10000-10-Apr-14-1100UTC.txt
[12] https://www.heise.de/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[13] https://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[14] mailto:rei@heise.de