Wichtige Sicherheitsfehler 'Heartbleed' setzt kritische Dienste in Gefahr

Über die Hälfte des Internets hätte durch einen zweijährigen Sicherheitsfehler beeinträchtigt werden können, der auch eine Reihe von Online-Bitcoin-Diensten beeinträchtigen könnte.

Die Sicherheitsanfälligkeit mit dem Namen 'Heartbleed' beeinflusst die Versionen von OpenSSL, eine Open-Source-Implementierung der SSL- und TLS-Internet-Sicherheitsprotokolle, die den Internetverkehr verschlüsseln und sichern, einschließlich: Passwörter, Nachrichten, E-Commerce und Banking und andere sensible Daten einschließlich Virtual Private Networks (VPNs). OpenSSL ist die beliebteste Softwarebibliothek für diesen Zweck.

Zwei Jahre alt

Der Heartbleed-Fehler ist seit 2011 bekannt für Forscher und seit 1999 auch "Black Hat" -Hacker, was bedeutet, dass kritische Daten über einen großen Teil des Internets offen waren seit Jahren verfügbar. Es gab keine bestätigten Berichte über Exploits, obwohl Angriffe keine Spuren hinterlassen haben.

Sicherheits-Admins auf der ganzen Welt sind jetzt eilig Anwendung eines Fixes, und Ändern von Zertifikaten und geheimen Schlüsseln auf die off-Chance sie hätten kompromittiert werden können.

Da es jede Seite mit dem "sicheren" https-Protokoll schwächt, ist die Bedrohung nicht speziell für Bitcoin-Dienste wie Brieftaschen und Austausch. Aber angesichts der Tendenz der Behörden, Bitcoin-Diebstähle zu ignorieren oder sie nicht effektiv zu untersuchen, könnte sie Bitcoin-Dienste anfälliger machen als "traditionelle" Online-Finanz- oder andere kritische.

Testen Sie die Dienste Ihrer Dienste

Der italienische Sicherheitsexperte Filippo Valsorda hat einen webbasierten Test erstellt, der es jedem ermöglicht, den Hostnamen eines Servers einzugeben, um zu sehen, ob er betroffen ist oder nicht. Er hat auch Open-Source-Code für den Test auf GitHub veröffentlicht.

Zum Zeitpunkt des Schreibens zeigte das Betreten von großen Bitcoin-Service-Adressen auf Valsordas Aufstellungsort, dass Blockchain, Coinbase und BitPay sicher waren, aber dass der weltweit populärste Austausch, Bitstamp, anfällig blieb.

Valsorda war auch mehr besorgt über Online-Bitcoin-Dienste als alles andere in anderen Implementierungen inhärent und sagte, es sei "einfach zu nutzen und nicht so schnell zu patch".

"Es ist wichtig, jedem zu sagen, alle ihre Server zu überprüfen und so schnell wie möglich zu aktualisieren [...] kann ich natürlich nicht positiv darüber sein, aber bitcoin-spezifische Software (lokale Brieftaschen etc.) sollte nicht betroffen sein, auch wenn sie es verwenden OpenSSL, da der Bug nur in Live-TLS-Verbindungen auslösbar ist. "

" Allerdings ist fast alles, was öffentlich im Bitcoin-Ökosystem steht, mit TLS gesichert (alle Web-Brieftaschen, Austausch, aber auch APIs und Mailserver) und potenziell (wahrscheinlich) betroffen. "

Rushing auf Patch-Software, drehte Certs

Es wird geschätzt, dass über 50% der Internet-Server eine Form von OpenSSL (und wahrscheinlich noch viel mehr) verwenden.Der Gedanke, dass über die Hälfte der sensiblen Daten des Internets für zwei Jahre ausgesetzt sein könnte, hat die Sicherheitsabteilungen schwitzen lassen.

Ausgeblendet Heartbleed, ein Angreifer konnte auf das RAM der betroffenen Systeme zugreifen, so dass sie bis zu 64 Kilobyte Daten zu einem Zeitpunkt zu sehen - genug, um genug Wissen aufzubauen, um auf die geheimen Schlüssel eines Systems zugreifen. Diese Schlüssel werden verwendet, um sensiblen Verkehr zu verschlüsseln und zu entschlüsseln und Dienstanbieter zu identifizieren.

Sobald geheime Schlüssel gewonnen sind, können Angreifer jeden Verkehr zu und von einem Server offen oder imitieren Dienste und Benutzer lesen.

Angriffe auf ein anfälliges System erfordern keine Man-in-the-Middle-Techniken und hinterlassen keine Spuren, so dass Sysadmins keine sichere Möglichkeit haben zu wissen, ob ihre Systeme kompromittiert wurden.

Das Ausmaß des potenziellen Schadens verlor etwas Rollen:

Heartbleed ist ein seltener Bug: ein Misserfolg in einer Kryptobibliothek, der Daten über das hinaus, was es schützt, leckt. So schlimmer als gar keine Krypto.
- matt blaze (@mattblaze) 8. April 2014

Mike Hearn, Entwickler und Vorsitzender des Gesetzes- und Politikausschusses der Bitcoin-Stiftung, sagte, er hoffe, dass die Auswirkungen auf Bitcoin-Dienste begrenzt wären, aber darauf hingewiesen, dass Bitcoin-Dienste nicht immer Best Practices für die Sicherheit einsetzten :

"Ich hoffe, dass die Auswirkungen begrenzt werden. Wichtige Seiten müssen ihre SSL-Schlüssel nach dem Upgrade drehen [...] Die meisten Seiten sollten die privaten Schlüssel für ihre Brieftaschen in einem anderen Server-Prozess haben, in dem die Daten nicht extrahiert werden können auf diese Weise, aber es wird mich nicht überraschen, wenn ein paar Standorte nicht aus irgendeinem Grund auf diese Weise arbeiten und die Diebstähle erleiden könnten. "

Unternehmen reagieren

Nach den Nachrichten haben sich viele Bitcoin- und Altcoin-Börsen auf Twitter gesetzt Antworten und aktualisieren Benutzer auf ihre Fortschritte bei der Bekämpfung des Fehlers.

#Bitstamp schaltet seine Accregistration, Login & alle virtuellen Währung Entzug Funktionen als Vorsichtsmaßnahme nach der jüngsten OpenSSL News. <829> - Bitstamp (@Bitstamp) 8. April 2014

In einem Interview mit CoinDesk zeigte Bitstamp-Vorstandsvorsitzender Nejc Kodrič, dass das Unternehmen, obwohl das Unternehmen seine Server erfolgreich gepatcht hatte, seinen DDoS-Abschwächer, Incapsula, volle Sicherheit.

Daher hat sich die Börse dafür entschieden, "auf der sicheren Seite" zu bleiben und die Kontoanmeldungen, Account Logins und alle virtuellen Währungsenthebungsfunktionen vorübergehend zu deaktivieren.

Andere Börsen haben seither ähnliche Aussagen über die Plattform, darunter Bitfinex - eine neue Ergänzung zu CoinDesk's BPI.

Heartbleed Bug auf Bitfinex fixiert, Abhebungen sind jetzt deaktiviert, bis wir unserstellen, dass jeder sicher ist

- Bitfinex. com (@bitfinex) 8. April 2014

Inzwischen sind Plattformen wie Localbitcoins. com und Bitcurex haben einen größeren Erfolg gemeldet:

Wir sind wieder auf, Herzklopfen behoben. // t. co / OwP9Ft1dE7

- LocalBitcoins. com (@LocalBitcoins) 8. April 2014

Blockchain. Info hat auch eine Erklärung über ihre Website veröffentlicht, die besagt, dass es die Service vor einer Woche aktualisiert hat.Das Unternehmen betonte auch, dass Brieftaschen-Passwörter nie auf den Server geschickt werden.

Es fügte hinzu: "Wir werden fortfahren, nach Bedarf zu untersuchen und Ihnen alle notwendigen Updates zu geben."

Öffentliche Informationsfreigabe

News of Heartbleeds Existenz wurde von der finnischen IT-Sicherheitsberatung Codenomicon veröffentlicht, die die Nach dem Ausprobieren der Ausbeutung für sich selbst. Ein Google Security-Ingenieur, Neel Mehta, berichtete es dem OpenSSL-Team, während Adam Langley und Bodo Moeller ein Update vorbereiteten.

Der Name stammt aus der Existenz des Bugs in der "Heartbeat" -Erweiterung von OpenSSL und stellt keinen Fehler im SSL / TLS-Protokoll selbst dar.

Codenomicon sagte, dass die Ausbeutung "einfach" sei und dass sie erfolgreich ihre eigenen Dienste angegriffen habe und Zugang zu geheimen Schlüsseln für X. 509 Zertifikate, Benutzernamen und Passwörter erhalten habe andere "geschäftskritische" Kommunikation

Die Sicherheitsberatung von OpenSSL sagte, dass Heartbleed betroffen ist 1. 0. 1 und 1. 0. 2-Beta-Veröffentlichungen der Softwarebibliothek, einschließlich 1. 0. 1f und 1. 0. 2-beta1.

"Eine fehlende Grenze überprüft die Handhabung der TLS-Heartbeat-Erweiterung kann verwendet werden, um bis zu 64k Speicher auf einem angeschlossenen Client oder Server zu veröffentlichen ", las es und riet den Benutzern, entweder sofort zu aktualisieren oder Herzschläge aus ihrer Version von OpenSSL zu entfernen, indem du sie mit -DOPENSSL_NO_HEARTBEATS neu kompilierst." <999 > Diese Geschichte wurde Co-Autor von Grace Caffyn.

Herzbild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die nach den höchsten journalistischen Standards strebt und sich an eine strenge Reihe von redaktionellen Richtlinien hält. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com