Hackern ist es gelungen, die von SMS-Gateways verschickten Nachrichten auszulesen ? Tokens zur Zwei-Faktor-Authentisierung inklusive. Und auch Tor-Exitnodes geben beliebige Speicherinhalte preis.
Die kritische Heartbleed-L�cke in OpenSSL betrifft auch Bereiche, die man erstmal gar nicht damit in Verbindung bringen w�rde: Nach Informationen von heise Security gelang es Hackern, mit dem Exploit im gro�en Stil auf SMS-Nachrichten zuzugreifen.
Darunter waren auch sensible Nachrichten: Informationen �ber Polizeieins�tze, Nachrichten an Rettungsdienste, Service-Techniker-Anfragen von Routern und andere Alarme. Die Kurznachrichten wurden bei mindestens sechs SMS-Gateways abgegriffen, die durch eine Web-API �ber das Internet steuerbar sind. Allen Gateways ist gemein, dass sie verwundbare OpenSSL-Versionen eingesetzt haben oder noch einsetzen.
Besonders heikel ist, dass sich auch SMS, die als zweiter Faktor f�r die Anmeldung an Online-Diensten verlangt werden, im Speicher fanden. Einige Nachrichten lie�en sich den Hackern zufolge beispielsweise auf Produkte von Swivel Secure [1] zur�ckf�hren. Die Zwei-Faktor-Authentifizierung des Unternehmens wurde beispielsweise von Microsoft in Verbindung mit Office 365 zertifiziert und wird auch f�r den VPN-Verbindungsaufbau verwendet.
Zwiebelblut
Au�erdem betrifft Heartbleed auch gut ein F�nftel der Tor-Exitnodes, wie der deutsche Sicherheitsforscher Collin Mulliner herausgefunden hat [2]. Seinen Angaben zufolge geben �ber 1000 Exitnodes ihren Speicherinhalt und damit Daten �ber ihre Nutzer preis.
Tor verwendet OpenSSL, um den Datenverkehr zwischen den Nodes zu verschl�sseln. Genau wie bei anf�lligen Webservern k�nnen beliebige Angreifer 16 Kilobyte gro�e Speicherbereiche der Exitnodes absaugen und so den Datenverkehr der Tor-Nutzer mitlesen, deren Pakete durch den betreffenden Node ins Internet wandern. Collin Mulliner stie� in den gesammelten Speicherausz�gen auf Informationen �ber aufgerufene Websites, Downloads, Session-IDs und weitere Klartextdaten.
Per se kann auch der Betreiber eines b�sartigen Exitnodes an all diese und weitere Daten kommen. Im Fall von Heartbleed sind der Aufwand und die Gefahr, entdeckt zu werden, aber deutlich geringer. Laut Tor-Entwickler Roger Dingledine [3] sind die nicht aktualisierten Nodes inzwischen auf einer schwarzen Liste gelandet. (Uli Ries) / (rei [4])
Keine Kommentare:
Kommentar veröffentlichen