Tag: Kryptographie

Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Der Heartbleed-Fehler wurde schon vielfach zur größten Sicherheitslücke in der Geschichte des Internet erklärt. Ein Fehler in einem Modul der weit verbreiteten Kryptographie-Bibliothek OpenSSL lässt sich zum Ausspähen des verschlüsselten Datenverkehrs ausnutzen. Seit Bekanntwerden der Schwachstelle aktualisieren Webdienste ihre Server. Anhand von Listen können Anwender überprüfen, welche Internetseiten die Sicherheitslücke schon behoben haben und welche eventuell noch betroffen sind.

Passwort erst nach der Fehlerbehebung ändern

Der Fehler lässt sich durch eine Aktualisierung der OpenSSL-Version beheben. Diese Aktualisierung müssen aber die Seitenbetreiber vornehmen. Nutzer können nur kontrollieren, wer dies bereits getan hat, und welche Seiten erst gar nicht betroffen waren. Wichtig ist aber, Passwörter und Zugangsdaten erst nach der Fehlerbehebung zu aktualisieren. Da der Fehler jetzt weit bekannt ist, sollte man das Eingeben von Passwörtern und vertraulichen Informationen auf anfälligen Seiten vermeiden – auch das Ändern der Zugangsdaten. Wir fassen in einer detaillierten Anleitung zusammen, wie Sie Ihre Internetkonten wieder sicher machen.

Google: Fast alle Dienste aktualisiert, nur Android 4.1.1 ist betroffen

Google gibt auf dem Sicherheitsblog des Unternehmens bekannt, dass fast alle Dienste bereits aktualisiert sind. Dazu zählen Gmail, Google Play, die Google Suche, Apps und YouTube. Chrome und ChromeOS sind nicht betroffen. Android ist so gut wie sicher, lediglich die Version 4.1.1 weist die Sicherheitslücke auf. Google hat hier den Softwarepatch bereits fertig gestellt und arbeitet mit Geräteherstellern und Mobilfunkunternehmen zusammen, um die Aktualisierung auszuliefern.

Listen der betroffenen Seiten

Inzwischen haben viele Anbieter bekannte Internetseiten und Portale auf die Schwachstelle geprüft. Mithilfe eines Test-Skripts haben Entwickler auf dem Portal Github eine lange Liste von betroffenen Servern zusammengetragen. Auch die Hersteller des Passwort-Managers LastPass bieten eine Liste an, außerdem stellen sie einen Heartbleed-Test zur eigenen Überprüfung beliebiger Seiten zur Verfügung. Mashable bietet eine Übersicht beliebter sozialer Netzwerke und Portale und zeigt denn aktuellen Status an.

Insgesamt lässt sich nur in etwa abschätzen, wie viele Internetseiten und Server durch den Heartbeat-Fehler angreifbar sind oder waren. OpenSSL kommt auf rund zwei Dritteln aller Internetseiten weltweit zum Einsatz. Die Schwachstelle befindet sich aber im sogenannten Heartbeat-Modul – daher der angelehnte Name Heartbleed. Dieses Modul ist weit weniger verbreitet und betrifft rund 17 Prozent aller SSL-Server. Die Schwachstelle macht aber die Kommunikation eines betroffenen Servers mit geschützten Servern angreifbar.

Sicherheitsexperte von Microsoft arbeitet für die Entdecker des Heartbeat-Fehlers

Sicherheitsexperten von Codenomicon haben den Heartbeat-Fehler entdeckt und eine entsprechende Informationsseite eingerichtet. Server-Administratoren haben kritisiert, dass Codenomicon die Schwachstelle öffentlich publiziert hat, bevor einige Betroffene reagieren konnten. Howard Schmidt, der Aufsichtsratsvorsitzende bei Codenomicon, hatte vorher den Posten des höchsten Sicherheitsbeauftragen, und zwar bei Microsoft. Für Jacob Appelbaum vom Anonymisierungsdienst Tor ist das kein Zufall, ebenso wenig wie der Zeitpunkt der Veröffentlichung.

Der Heartbleed-Fehler bestand seit zwei Jahren, aber genau am 8. April 2014 geht Codenomicon damit an die Öffentlichkeit, mit einer eigenen Internetseite und einem Logo. Zum gleichen Zeitpunkt veröffentlicht Microsoft die letzten Sicherheitsupdates für Windows XP. Howard Schmidt ist nach wie vor Mitglied der Abteilung für Sicherheitsentwicklung von Microsoft.  Aus der Linux-Gemeinde werden daher Stimmen laut, dass die Heartbleed-Bekanntmachung auch die Sicherheit von Linux und Open-Source anschwärzen will.

Passende Artikel

Quelle: Google Online Security Blog | LastPass | Mashable | Techrights | Github

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?

Der sogenannte Heartbleed-Fehler stellt eine gravierende Sicherheitslücke dar und betrifft unzählige Internetseiten und Server. Eine Liste mit bekannten Internetseiten gibt Einblick, wer von dem Sicherheitsproblem betroffen ist. Eine eingerichtete Testseite zur eigenen Überprüfung ist wegen der hohen Nachfrage immer wieder überlastet.

Was ist der Heartbleed-Fehler?

Der Fehler tritt im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL auf, die weit verbreitet und auf vielen Servern zur Verschlüsselung des Datenverkehrs im Einsatz ist. Durch die Schwachstelle können Angreifer den Arbeitsspeicher des Servers auslesen. Dadurch werden die Schlüssel preisgegeben und der gesamte Datenverkehr lässt sich ausspähen. Die Sicherheitsexperten von Codenomicon, die den Fehler entdeckt haben, tauften die Sicherheitslücke Heartbleed.

Welche Internetseiten sind betroffen?

Eine vollständige Liste von betroffenen Seiten gibt es zu diesem Zeitpunkt nicht. Ein Update zur Behebung der Sicherheitslücke steht schon zur Verfügung. Viele Server-Administratoren haben reagiert, wodurch die Gesamtanzahl der anfälligen Seiten also abnehmen sollte. Nach Stand vom 8. April 2014 zählten Yahoo, Flickr, OKCupid, Imgur und Eventbrite zu bekannten Seiten, auf denen eine anfällige OpenSLL-Version läuft. Mit dem Heartbleed Test lassen sich Seiten überprüfen, allerdings arbeitet der Test wegen der hohen Nachfrage nicht immer zuverlässig. Mehrere Listen zeigen die häufigsten Abfragen und das entsprechende Ergebnis.

Warum ist der Fehler so schwerwiegend?

Der Heartbleed-Fehler besteht seit 2011 und betrifft alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f. Die Kryptographie-Bibliothek kommt auf auf geschätzten zwei Dritteln aller Server im Internet zum Einsatz. Zusätzlich lässt sich das Ausnutzen der Sicherheitslücke nicht nachvollziehen, es kann also nicht festgestellt werden, welche Daten eventuell ausgespäht wurden. Die Art des Fehlers ist selten, da durch die Lücke mehr Daten gefährdet sind als ursprünglich geschützt werden sollten. Im Endeffekt ist eine fehlerhafte OpenSSL-Verschlüsselung also schlechter als gar keine Verschlüsselung.

Was können Anwender tun?

Es empfiehlt sich, häufig genutzte Seiten zu kontrollieren: Welche Verschlüsselungsmethode kommt zu Einsatz? Falls OpenSSL im Einsatz ist, welche Version? Wurde der Heartbleed-Fehler schon behoben? Das Ändern wichtiger oder sogar aller Passwörter ist nie falsch, jedoch sollte es in jedem Fall nach dem Update auf die fehlerfreie OpenSLL-Version 1.0.1f erfolgen. Anwender müssen keine Software auf ihren Rechnern nicht aktualisieren. Doppelte Verschlüsselung hilft auch: Sobald zusätzlich eine zweite Verschlüsselung wie zum Beispiel Perfect Forward Secrecy (PFS) zum Einsatz kommt, besteht keine Anfälligkeit für den Heartbleed-Fehler. PFS-Verbindungen nutzen unter anderem Posteo und Strato, bei T-Online und United Internet, also GMX und Web.de, ist die Einführung geplant.

Passwort ändern

Inzwischen sind einige Online-Dienste dazu übergegangen, nach Schließen der Sicherheitslücke zur Änderung des Passwortes aufzufordern. Wegen der Aktualisierung hat Minecraft-Hersteller Mojang gestern die Server für einige Zeit heruntergefahren. Heute rät Mojang seinen Nutzern, ihre Passwörter für Minecraft zu ändern. Auch Soundcloud ergreift entsprechende Maßnahmen: Alle Nutzer der Musik-Plattform werden im Laufe des heutigen Tages abgemeldet. Beim erneuten Anmelden erhalten Sie eine Aufforderung zur Passwort-Änderung.

Update 09.04.2014 15.30 Uhr: Wir haben Informationen zur Passwort-Änderung bei Minecraft und Soundcloud eingefügt.

Passende Artikel

Quelle / Bild: Heartbleed | Github

Via: GigaOM