Es ist nun ca. zwei Wochen her, dass ein sehr kritischer Softwarefehler in der Verschlüsselungssoftware OpenSSL bekannt wurde. Die Schwachstelle wird als Heartbleed-Bug oder einfach Heartbleed bezeichnet. Ich möchte neben einer kurzen Zusammenfassung des Problems, einige Empfehlungen für Internernutzer festhalten. Direkt zur Empfehlung

Hintergrund

Die Schwachstelle wurde am 08.04.2014 durch das einspielen eines Patches, der diese behebt, bekannt. Sie besteht allerdings bereits seit 2012 und ermöglicht es, alle Daten, die zu jemand an einen betroffenen Servern übertragen hat zu entschlüsseln. Dies betrifft sowohl in der Vergangenheit aufgezeichnete, aber auch aktuelle Daten. Betroffen waren mindestens laut Schneier on Security ca 500.000 Seiten, zu denen u.A. auch gmx, web.de, google, facebook, gmail, twitter, instagram, dropbox, yahoo und godadday gehören. Hier gibt es eine Übersicht dazu. Wer die Schwachstelle verstehen möchte, sollte sich folgende Artikel anschauen:

• Schneier.com 1
• Schneier.com 2

Nach ca einer Woche hat cloudflare eine sog. Heartbleed Challange gestartet, deren Ergebnis gezeigt hat, das der Worse-Case, den ich oben beschrieben habe, praktisch möglich ist. Nachdem endgültig klar war, wie ernst die Schwachstelle zu nehmen ist, tauchten auch erste Hinweise auf, dass die Schwachstelle bereits 2013 ausgenutzt wurde. Am 14.04.2014 gab es dann hinweise, dass Daten beim kanadischen Finanzamt ausgelesen werden konnten. Da noch immer nicht alle Server aktualisiert waren, zeigte sich am 17.04.2014, dass noch immer 1000 Tor-Exitnodes betroffen sind. Leider sind bis heute noch immer nicht alle Server aktualisiert. Nicht nur die o.g. Tor-Nodes, sondern sehr viele Server, vor allem von kleine Firmen, haben Ihre Server noch immer nicht aktualisiert. Am 11.04.2014 verwies Schneier.com 3 auf diesen Artikel der klärt, wie man neben Servern auch Clients angreifen kann, die von dieser Schwachstelle betroffen sind.

Empfehlungen

Empfehlungen für jeden Benutzer

• Ändern der Zugangsdaten, die man bei den betroffenen Diensten verwendet hat. Dies gilt neben http auch für Email und VPN Zugänge.
• Wenn man unsicher ist, ob die Website, die man mit SSL betreibt sicher ist, kann man einen Live-Test durchführen. Sollte Sie noch immer betroffen sein, macht euch klar, dass jeder die Zugangsdaten jetzt oder in der Zukunft mitlesen kann.
• Prüft euren Browser, ob er Zertifikats-Annullierung ( “Certificate Revocation” ) unterstützt. Euer Browser verhält sich korrekt, wenn ihr bei dieser Website, einen Fehler erhaltet. Wenn Ihr sie normal sehen könnt, bitte den Browser aktualisieren oder einen anderen verwenden.
• Linux und Unix Benutzer sollten prüfen, ob Sie OpenSSL in einer betroffenen Version installiert haben. Sollten Ihr System betroffen sein, sollten Sie OpenSSL dringend aktualisieren.

Zusätzliche Empfehlungen technisch versierte Benutzer

• Prüft zusätzlich, ob die Seite von Heartbleed betroffen war und ob das SSL-Zertifikat erneuert wurde.
• Nehmt IT-Sicherheit wirklich ernst

Zusätzliche Empfehlungen für Server-Admins

Da bei weitem nicht alle Server aktualisiert wurden, möchte ich auch das Offensichtliche sagen:

• Aktualisiert betroffene OpenSSL Versionen auf eine sichere Version. ( z.B. 1.0.1g statt 1.0.1a-f)
• Tauscht alle Zertifikate, die auf den betroffenen Servern liefen. Und zwar mit einem neuen Private-Key
• Informiert alle betroffenen Nutzer, dass sie ihre Zugangsdaten sollen.

Hinweis an gmx,web.de,… Nutzer

Durch das Anpassen der Zugangsdaten, kann man neben dem Heartbleed Problem auch gleich auf das jüngesten Ershceinen von 18.000.000 Emailkennwörtern reagieren.

Quellen

• Große und betroffene Seiten
• Schneier Heartbleed 1
• Schneier Heartbleed 2
• Reverse Heartbleed
• Heartbleed Bug
• Heartbleed Website Test
• Heartbleed Background
• Challange Result
• Browser Revocation-Test
• Heartbleed + kanadisches Finanzamt