Hacker-Attacke auf österreichische Firmen
Die Erste-Bank, das Justizministerium, die Kreditkartenfirma Card Complete, Die Presse, die Wiener Börse und der Webshop der Wiener Linien wurden seit Dienstagabend offenbar zum Ziel von Hacker-Attacken. Die Gruppe "Anonymous Austria" bekannte sich auf Twitter zu den Aktionen und veröffentlichte, wie sie Zugang bekommen hatte. Der Angriff dauerte bis Mittwochvormittag. Die meisten der betroffenen Unternehmen hatten die Sicherheitslücken aber noch am Abend zuvor entdeckt und geschlossen.
Möglich wurde der Angriff durch den sogenannten "Heartbleed"-Leak (siehe Futurezone-Bericht unten). Am Dienstag war diese Sicherheitslücke enttarnt und im Internet veröffentlicht worden. Offenbar wurde auch aus dem Mail eines Justizbeamten zitiert: "Wenn ich keinen Bankraub begehe, werde ich zu Jahresende Hofrat."
Zwei Drittel aller Webserver seien dafür anfällig, sagen Experten. Betroffen sind vor allem vermeintlich sichere Verschlüsselungssysteme, auf die Millionen Kunden im Internet bis jetzt eigentlich vertrauen konnten. Fast der gesamte Online-Zahlungsverkehr wird über diese https-Seiten abgewickelt.
"Mindestens 30.000 Server sind betroffen und fünf bis 15 Prozent aller '.at'-Domains“, lauteten die ersten Prognosen des Computer Emergency Response Team (CERT.at), das von einem "großen Schadenspotenzial" spricht.
"Heartbleed"“ ermöglicht es, auf den Hauptspeicher des jeweiligen Systems zuzugreifen und im schlimmsten Fall können dabei heikle Userdaten wie etwa Passwörter ausgespäht werden, erklärt Aaron Kaplan von CERT.at. Und abgefragt wird laut Kaplan in hohem Ausmaß, nachdem mit sogenannten "Proof of Concept"-Codes auch Laien problemlos die Schwachstelle ausnützen können.
Bei den Angriffen werden zwar nur kleine Datensätze in der Größe von 64 Kilobyte ausgelesen, jedoch können diese beliebig oft wiederholt werden. User sollten ihre Passwörter daher vorsorglich ändern. Der "Heartbleed"-Bug hat es etwa bereits ermöglicht, Userdaten von Yahoo-Nutzern abzufragen.
Einige der in Österreich betroffenen Unternehmen haben bereits kurze Zeit später die Sicherheitslücken gestopft. Manche nahmen den Hinweise der Gruppe AnonymousAustria mit Humor. Bei der Erste-Bank hieß es, dass der Fehler bereits am Dienstagabend nicht mehr auftrat, auch DiePresse.com und das Justizministerium reagierten auf Twitter eher gelassen.
"Wir haben sofort reagiert und den Leak innerhalb von nicht einmal 24 Stunden geschlossen", sagt Christian Hromatka, Pressesprecher bei der Erste-Bank. Es seien keine relevanten Daten abhanden gekommen oder gestohlen worden, wurde betont. Seit gestern um 19 Uhr sei alles behoben. "Wir haben nur einen vergleichsweise kleinen Server, große werden da sicher mehr Probleme haben." Am Nachmittag postete die Gruppe "AnonAustria" auf Twitter jedoch erneut einen Screenshot, der offenbar auf ein Datenleck bei der Erste-Bank hinweisen soll.
Bei den Wiener Linien war die Lücke hingegen bereits am Dienstagabend um 20 Uhr geschlossen, betonte ein Sprecher. Wenig später gab auch Card Complete Entwarnung. Die Kreditkartenfirma prüft aber noch, ob von den Hackern auch Transaktionen getätigt worden sind.
Die Wiener Börse erklärte gegenüber dem KURIER: "Umgehend nach dem Verfügbarwerden eines offiziellen Updates wurde dieses noch am selben Tag spätabends auf der Website eingespielt und der Fehler damit behoben. Betroffen waren etwaige Benutzer, die sich auf der Website eingeloggt hatten, um beispielsweise Realtime-Kursdaten einzusehen. Zusätzlich wurde durch den Austausch des SSL Zertifikats für einen nachhaltigen Zugriffsschutz gesorgt".
Etwas länger dauerte die Fehlersuche hingegen beim Ticketanbieter OeTicket. Hier wurde erst am Mittwoch gegen 13 Uhr Entwarnung gegeben.
Mehr dazu auf futurezone.at:
Die fehlerhafte Version einer Programmbibliothek ist anscheinend schon seit zwei Jahren im Einsatz und erlaubt es Mittelmännern, sich in mit OpenSSL verschlüsselt Verbindungen einzuklinken oder sich als verschlüsselter Webserver auszugeben. Die von Datenschutz-Experten oft empfohlenen "https"-Verbindungen dürfen damit wohl ebenfalls nicht länger als sicher gelten, da sie ebenfalls meist auf OpenSSL setzen. Die Entdecker haben dem Fehler den Namen "Heartbleed Bug" gegeben, wie arstechnica berichtet. Die betroffene OpenSSL-Version ist ein Standard-Bestandteil der Apache-Server, auf denen laut Netcraft rund 66 Prozent der Webseiten laufen. Betroffen sind neben Webservern aber auch Mail-, VPN- und andere DIenste, die auf die Verschlüsselung setzen.
Die Suche nach Fehlern in OpenSSL hat begonnen, nachdem bekanntgeworden ist, dass die NSA versucht, die Verschlüsselung zu unterwandern. Ob es sich bei der aktuellen Lücke um eine bewußt platzierte Hintertür handelt, ist derzeit unklar, da noch nicht festgestellt werden konnte, wer den fehlerhaften Code-Teil eingebracht hat.
Keine sicheren Verbindungen
Über die Sicherheitslücke können sich Angreifer sowohl die verschlüsselten Inhalte als auch den Schlüssel holen. Ob der Fehler bereits ausgenutzt wurde, lässt sich nicht mehr feststellen, da ein entsprechender Angriff keine Spuren in den Log-Dateien der Server hinterlässt.
Das Schad-Potenzial ist jedenfalls enorm, da auch sensible Anwendungen wie Bankverbindungen, soziale Medien oder Mail-Programme auf OpenSSL setzen. Geben sich Angreifer als vertrauenswürdige Seiten aus, können sie sich Zugangsdaten zu den jeweiligen Anwendungen erschleichen. Es gibt zwar bereits ein Update, das die Sicherheitslücke schließt, allerdings wird es durch die enorme Anzahl betroffener Server wohl noch sehr lange dauern, bis die sichere Variante sich überall verbreitet hat. Zudem könnten aktuelle Zertifikate bereits kompromittiert sein, was das Update sinnlos macht.
In einer Aussendung von CERT.at heißt es: "Da davon auszugehen ist, dass Angreifer über die Private Keys von mit verwundbaren OpenSSL-Versionen gesicherten Services verfügen, sind prinzipiell alle über solche Service übermittelten Informationen als kompromittiert zu betrachten. Falls die Services mit "Perfect Forward Secrecy" konfiguriert sind, können Angreifer allerdings nicht Informationen aus in der Vergangenheit mitprotokollierten Sitzungen entschlüsseln. Aktuell übertragene Informationen sind trotzdem betroffen."
Hier können Seiten auf ihre Verwundbarkeit getestet werden.
(erschienen am 8. April auf futurezone.at)
Kommentare