Heartbleed ist der Name eines Bugs – so nennt man Softwarefehler – in der Verschlüsselungstechnik Open SSL. Der Fehler wurde im April 2014 öffentlich und mittlerweile behoben.
Durch die starke Verbreitung von Open SSL waren Millionen von Webseiten von dem Bug betroffen, der es ermöglichte, den Datenverkehr zwischen Nutzer und Server abzugreifen – trotz Verschlüsselung. Nicht nur reguläre Webseiten waren betroffen, sondern auch Nutzer von SMART-TVs und anderen Geräten, die eine Internetverbindung via Open SSL aufbauen. Bis zur Aufdeckung des Fehlers galt Open SSL als enorm sicher und wurde nicht nur für die Abwicklung von Bestellungen in Onlineshops, sondern auch beim Online-Banking genutzt. Der Nutzer kann sehen, wenn eine Verbindung via SSL-Verschlüsselung aufgebaut wird: Statt HTTP steht HTTPS vor der URL in der Adressleiste des Browsers. Man geht davon aus, dass es sich bei Heartbleed um einen versehentlichen Programmierfehler handelte, der seit 2012 bestand.
Heartbleed im Detail
Die TLS-Verschlüsselung zwischen Server und Nutzer bzw. Client wird durch den „Heartbeat“ aufrechterhalten, indem ein sogenannter Payload mit beliebigem Inhalt von einem Kommunikationspartner zum anderen gesendet wird. Dieser sendet den exakt gleichen Inhalt zurück, als Signal für eine stehende Verbindung zwischen den Kommunikationspartnern. An dieser Stelle befand sich der Bug, denn beim Empfang der Payload wurde nur der Inhalt, nicht aber die Länge des tatsächlichen Payloads mit der dafür reservierten Speichergröße abgeglichen. Angreifer konnten an dieser Stelle Werte hinzufügen und so bis zu 64Kilobyte des gesendeten Inhalts auslesen – genug um Passwörter und andere Login-Informationen abzugreifen. Zudem ließ sich der Angriff beliebig oft wiederholen und die abgegriffene Datenmenge dadurch steigern.
Heartbleed in der Rückschau
Da ein Angriff unter Ausnutzung von Heartbleed vom Server gar nicht protokolliert wurde, weiß man nicht ob und wie stark der Bug tatsächlich ausgenutzt wurde. Da er so lange unbemerkt blieb, kann man aber davon ausgehen, dass zum Beispiel Geheimdienste sensible Daten abgegriffen haben. In der Folge wurde die „Core Infrastructure Initiative“ gegründet, an der zahlreiche große Internetunternehmen wie Google und Facebook beteiligt sind. Diese Initiative soll dabei helfen, Sicherheitslücken schneller zu identifizieren und zu schließen.