Der Heartbleed Bug ist ein katastrophaler Bug. Er wurde in den letzten Tagen entdeckt, ist aber eventuell gewissen Personen schon deutlich früher bekannt gewesen und ausgenutzt worden.
Wir versuchen, die Auswirkungen auf Kicktipp darzustellen. Wir müssen jedoch einschränkend sagen, dass uns noch nicht alle sicherheitsrelevanten Aspekte völlig klar sind. Wir sind keine Kryptographieexperten, sondern vertrauen (in dem Fall fälschlicherweise) weltweit verwendeten Verschlüsselungsstandards.
Weiter Informationen zum Heartbleed Bug können der Presse entnommen werden.
Empfehlung
Wenn Sie Ihr Kicktipp Passwort auch bei anderen wichtigen Diensten verwenden, empfehlen wir dringend, das Passwort bei allen Diensten und auch bei Kicktipp unverzüglich zu ändern. Überzeugen Sie sich vorher davon, dass der Dienst, bei dem Sie die Passwörter ändern, inzwischen sicher ist.
Wenn Sie Ihr Passwort nur bei Kicktipp verwenden, sollten Sie Ihr Passwort natürlich auch ändern. Aber das Risiko ist dann deutlich geringer, weil dann bezogen auf dieses Passwort nur Ihr Konto bei Kicktipp betroffen sein kann.
Zeitlicher Ablauf
- 14.02. Installation der Lastverteiler mit der schadhaften Bibliothek
- 07.04. Bekanntwerden des Bugs
- 08.04. 14:58 Aktualisierung der openssl Bibliothek
- 09.04. 06:25 Neustart der Lastverteiler
- 10.04. 19:52 Austausch aller SSL Zertifikate
Update: Leider war das Update der openssl Bibliothek am 08.04. nicht ausreichend, da die Lastverteiler durch die Aktualisierung nicht neu gestartet wurden und so noch bis zum morgen mit der fehlerhaften Software weiterliefen. Die Verwundbarkeit war daher erst am 09.04. um 06:25 behoben.
Bis zum 09.04. haben wir demnach eine fehlerhafte Bibliothek für HTTPS-Verbindungen verwendet. Im Detail zu den Risiken:
HTTPS Verbindungen
Für die Herstellung einer verschlüsselten Verbindung über https://www.kicktipp.de/ wurde die fehlerhafte Bibliothek vom 14.02. bis zum 09.04 verwendet.
Einem möglichen Angreifer war es daher bis zu diesem Zeitpunkt möglich, eine schädliche SSL Verbindung zu einem unserer 3 Lastverteiler aufzubauen und so Daten aus dem Speicher dieser Lastverteiler auszulesen. Wie das genau funktioniert ist bei heise erklärt.
Zu diesen Daten gehört auch der geheime Schlüssel des SSL Zertifikats. Dadurch kann ein Angreifer jede weitere verschlüsselte Kommunikation mitlesen und entschlüsseln, wenn er Zugriff auf den Kommunikationsverkehr hat. Er kann möglicherweise auch vergangene Kommunikation nachträglich entschlüsseln, wenn er diese zuvor mitgeschnitten hatte.
Kommunikationsdaten anderer HTTP und HTTPS Verbindungen befinden sich während der Anfrage des Browser im im Speicher des Lastverteilers und könnten so möglicherweise auch ausglesen worden sein. Da bei Kicktipp die meisten Nutzer HTTP statt HTTPS verwenden, waren die meisten Nutzer nach jetzigem Kenntnisstand nicht betroffen.
Die eigentlichen Applikationsserver und Datenbankserver waren nicht betroffen, da zu diesen keine HTTPS Verbindungsmöglichkeit besteht. Das macht die Sache aber nur wenig besser, da völlig unklar ist, ob, wann und wieviele Daten gelesen wurden.
Da aber auch Ihr Passwort beim Login zu diesen Daten gehört, kann es sein, dass ein Angreifer durch Auslesen von Speicher Zugriff auf Ihr Passwort hatte, welches bei Kicktipp von Ihnen verwendet wird.
Dies ist möglich. Ob es allerdings passiert ist, können wir nicht sagen. Der Angriff hinterlässt nach unserer Kenntnis keine Spuren. Daher sollte man im Zweifel davon ausgehen, dass das Passwort bei Kicktipp nicht mehr sicher ist.
Status
Kicktipp ist nicht mehr über den Heartbleed Bug verwundbar.
Wir hoffen durch die umfangreiche Stellungnahme alle Fragen geklärt zu haben. Wir stehen aber gerne per E-Mail für weitere Rückfragen zur Verfügung: service@kicktipp.de
Bitte lesen Sie dazu auch die aus unserer Sicht gute Stellungnahme auf heise.de
SSH Verbindungen
UPDATE: SSH Verbindungen waren von dem Heartbleed Bug nicht betroffen