Kanadische Polizei verhaftet Heartbleed-Hacker

Die Royal Canadian Mounted Police (RCMP) hat nach einem Bericht von theglobeandmail.com den 19-jährigen Arthuro Solis-Reyes aus Ontario am Dienstag wegen Datendiebstahl bei der kanadischen Steuerbehörde CRA verhaftet. Laut einer Stellungnahme vom Mittwoch nutzte der Sohn eines Informatik-Professors dafür die Heartbleed-Lücke in OpenSSL. Angeblich hat er Sozialversicherungsnummern von 900 Steuerzahlern erbeutet.

Die kanadische Steuerbehörde hatte nach Bekanntwerden der SSL-Lücke die Server zwar einen Tag später vom Netz genommen, doch war dies offenbar zu spät. Wann genau der Diebstahl stattfand, wollten die Ermittler nicht mitteilen. Da Datendiebstahl über die als Heartbleed bekannte Schwachstelle CVE-2014-0160 in OpenSSL keine Spuren hinterlässt, vermuten Sicherheitsexperten, dass womöglich eine auf Sicherheit spezialisierte IT-Abteilungen der Regierung den Zugriff festgestellt hat.

Der verdächtige Stephen Arthuro Solis-Reyes studiert im zweiten Jahr an der University of Western Ontario, an der sein Vater Informatik lehrt. Zuvor war er Mitglied eines Schulteams, das einen Programmierwettbewerb gewonnen hat. Er ist auch Entwickler einer Blackberry-App für Sudoko-Räsel. Seine Verhandlung ist für den 17. Juli angesetzt. Ihm drohen bis zu zehn Jahre Haft.

Der Heartbleed-Bug ermöglicht Angreifern, auf Teile der eigentlich verschlüsselten Kommunikation zwischen Rechner und Server zuzugreifen. Mit den Daten im Speicher könnten sie kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen. Sie könnten auch Nutzernamen und Passwörter von Usern auslesen. Die betroffene Verschlüsselungssoftware OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Daten wie Passwörter zu verschlüsseln. Der Fehler wurde von der Sicherheitsfirma Codenomicon zusammen mit Google-Forscher Neel Mehta entdeckt.

Nutzer betroffener Server sollten umgehend die Zugangsdaten ändern und diesen Schritt wiederholen, sobald die Serverbetreiber neue Zertifikate eingespielt haben. Die großen deutschen E-Mail-Provider haben den Heartbleed-Bug inzwischen behoben und auch die Zertifikate erneuert.

Andere Server wie Online-Shops können natürlich auch von dem Heartbleed-Bug betroffen sein. Da nur die wenigsten Webseiten-Betreiber Informationen über die Schwachstelle kommunizieren, bleibt Nutzern nur die Möglichkeit, sich mit Online-Tools über den Status eines Servers zu informieren. Hierfür sind folgende Dienste geeignet:

filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago