Tag: OpenSSL

Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft noch unzählige Geräte wie Router und Internetdrucker

Der Heartbleed-Fehler und die dadurch verursachte Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL sind noch nicht ausgestanden. Experten der Universität in Michigan haben das Internet nach Geräten durchsucht, die sich durch Ausnutzung der Schwachstelle hacken lassen.

Ausfindig gemacht haben die Experten unzählige anfällige Router, Drucker-Server, Firewalls, Video- und Überwachungskameras, Cloudspeicher und weitere Geräte. Während die allermeisten Internetseiten bereits Sicherheitsupdates installiert haben, herrscht beim Internet der Dinge noch großer Nachholbedarf.

Der Informatiker Nicholas Weaver von der Universität von Kalifornien in Berkeley nennt die Zahl der betroffenen Geräte im höchsten Grade verstörend. Durch den Heartbleed-Fehler in Geräten sind sozusagen die Ränder des Internet durchlässig, also genau da, wo das Netz in unser tägliches Leben eingreift.

Firewalls, Router, Druck-Server und Video-Systeme

Besonders brisant ist die OpenSSL-Sicherheitslücke, wenn sie Geräte anfällig macht, die eigentlich erhöhte Sicherheit bieten sollen, also Router und Firewall-Lösungen zum Beispiel. Apple hat bereits Patches für zwei betroffene WLAN-Router herausgegeben. Nach der Auswertung ihres groß angelegten Scans von betroffenen Geräten verzeichnen die Sicherheitsexperten aus Michigan aber eine lange Liste, auf der sich Cloudspeicher von Western Digital, Drucker von HP, ein Videokonferenz-System von Polycom, Firewalls von WatchGuard und Speicher-Lösungen von Synology finden.

FortiGate ist eine angreifbare Firewall vom Anbieter Fortinet und ein gutes Beispiel dafür, wie eine fehlerhafte Sicherheitslösung mehr Daten preisgeben kann, als sie ursprünglich schützen soll. Der Hersteller hat die Anfälligkeit bestätigt und gibt eine Anleitung zur Ausbesserung. Ein Update ist aber nur manuell möglich.

Nicholas Weaver konnte über das Internet etliche Drucker-Modelle ermitteln, welche auf den Heartbleed-Fehler reagierten, darunter einige des Herstellers HP. Ein Sprecher von HP gab an, das Unternehmen arbeite an einem Firmware-Update, die Zahl der betroffenen Modelle sei klein.

Wie können sich Anwender schützen?

Wie betroffene Internetseiten auch, müssen viele der anfälligen Systeme und Geräte manuell von den Betreibern aktualisiert werden. Heimanwender sollten aber überlegen, welche Hardware mit Internetzugang sie zu Hause betreiben. Dazu können zählen unter anderem: Internet-Router, Firewall-Lösungen, Netzwerkfestplatten, WLAN-Drucker, Internetradios, Netzwerkplayer, Smart-TVs sowie intelligente Thermostate und Wetterstationen.

In den meisten Fällen ist eine Aktualisierung der Firmware des Gerätes nicht automatisch möglich. Die Installation eines Updates ist je nach Hardware unterschiedlich, eine Auseinandersetzung mit dem Handbuch oder einer entsprechenden Anleitung ist häufig erforderlich. Die Internetseiten des jeweiligen Herstellers können weiterhelfen, auch bei der Suche nach einem verfügbaren Software-Update.

Die gute Nachricht: Weaver und die Informatiker aus Michigan haben auch festgestellt, dass ein Großteil der Geräte, auf denen OpenSSL zum Einsatz kommt, nicht für den Heartbleed-Fehler anfällig sind. Entweder, weil sie eine fehlerfreie Version einsetzen, oder weil das fehlerhafte Modul nicht aktiviert ist.

Passende Artikel

Quelle: Wired.com

Facebook kauft Moves, Tech-Firmen unterstützen OpenSSL, Batman Arkham Knight kommt im Oktober 2014

Facebook kauft die Fitness-App Moves, große Technik-Firmen sichern der Verschlüsselungsbibliothek OpenSSL finanzielle Hilfe zu und Batman: Arkham Knight erscheint am 15. Oktober 2014 – der Nachrichtenüberblick.

  • Facebook kauft Moves: Die nächste Übernahme von Facebook ist die Fitness-App Moves. Wie Instagram und WhatsApp soll auch Moves eine eigenständige Anwendung bleiben. Moves bietet die Möglichkeit, Standortdaten des Nutzers auch außerhalb des Trainings zu erfassen, was für Facebook von besonderem Interesse sein dürfte.
  • Android Wähl-App: Erst vor kurzem hat Google auf Twitter ein Bild der neuen Wähl-App für Android veröffentlicht. Neue Screenshot-Leaks zeigen jetzt mehr vom neuen Aussehen der Anwendung. Die nächste Version wird ein flaches Design und mehr Farben bringen.
  • Tech-Firmen unterstützen OpenSSL: Nach dem Heartbleed-Fehler haben sich Tech-Firmen wie Google, Amazon, Facebook und weitere zusammengetan, um Open-Source-Projekte zu unterstützen. Als erstes soll die Verschlüsselungsbibliothek OpenSSL finanzielle Hilfe erhalten.

Updates

  • FaceTime und iOS 6: Ein Fehler in der FaceTime-App von Apple macht die Videochat-Anwendung für einige Nutzer von iOS 6 unbrauchbar. Apple stellt zwar einen Patch bereit, zwingt Besitzer von kompatiblen Geräten aber zum Update auf iOS 7.
  • IFTTT für Android: Der volle Titel der App lautet If This Then That. Nutzer können mit der Anwendung eigene Rezepte erstellen, um bei bestimmten Ereignissen festgelegte Aktionen auszuführen, zum Beispiel Fotos automatisch hochladen oder eine E-Mail verschicken beim Eingang einer SMS. IFTTT ist jetzt auch für Android verfügbar.

Spiele

  • Batman: Arkham Knight: Der finale Teil der Arkham-Serie soll am 14. Oktober 2014 erscheinen. Batman: Arkham Knight bringt einige vertraute Gesichter aus den vorherigen Spielen und der Comic-Serie. Zusätzlich haben die Entwickler von Rocksteady Studios bestätigt, einen eigenen Bösewicht als Gegner für Batman zu erschaffen.
  • XCOM: Enemy Unknown: Nach der gestrigen Ankündigung ist XCOM: Enemy Unknown jetzt auch für Android erschienen. Beim rundenbasierten Strategiespiel baut der Spieler eine Spezialeinheit auf, um außerirdische Invasoren zu bekämpfen.
  • Dark Souls 2: Erst vor Kurzem ist das Rollenspiel für PC erschienen und bereitet schon Probleme. Viele Nutzer berichten von Abstürzen beim Start, außerdem sind einige Controller nicht mit dem Spiel kompatibel. Der Hersteller kann momentan nur Zwischenlösungen anbieten.
  • Sonic & All-Stars Racing Transformed: Sega bietet das Rennspiel rund um Sonic und seine Freunde in der iOS-Version ab sofort kostenlos an.
  • Dänemark in Minecraft: Immer wieder bauen Fans und geduldige Spieler ausgefallene Dinge in Minecraft, so zum Beispiel Michael de Santas Haus aus GTA V. Zwei mehr als engagierte Dänen haben jetzt ganz Dänemark im Spiel konstruiert – und das im Maßstab eins zu eins.

Heartbleed-Fehler in Android-Apps: Nur zwei Heartbleed-Scanner arbeiten zuverlässig

Die Sicherheitsexperten von FireEye haben sowohl Android-Apps als auch Heartbleed-Scanner zur Überprüfung auf die OpenSSL-Schwachstelle Heartbleed analysiert. Nach der Einschätzung von FireEye sind derzeit etwa 150 Millionen Downloads aus dem Google Play Store von der Sicherheitslücke betroffenen. Von 17 getetesteten Heartbleed-Scannern eigneten sich nur zwei zur Überprüfung von installierten Android-Apps.

Android an sich ist nicht von der Schwachstelle betroffen, mit der Ausnahme der Versionen 4.1 und 4.1.1 Jelly Bean sowie einigen Custom-ROMs. Auf der Ebene des mobilen Betriebssystems sind derzeit also rund fünf Prozent aller Android-Geräte angreifbar. Unabhängig von der installierten Version kann der Heartbleed-Fehler dennoch alle Android-Nutzer treffen, wenn der problematische Code in einer installierten App auftritt.

Spiele und Office-Apps

FireEye berichtet, dass es sich bei den meisten Apps mit einer fehlerhaften OpenSSL-Version um Spiele handelt. Die von Spielen übertragenen Daten sind selten sicherheitsrelevant. Allerdings ist bei einer Anbindung an Facebook, Twitter, Google+ oder sonstige soziale Netzwerke Vorsicht geboten. Theoretisch können Angreifer darüber Zugriff auf die verknüpften Profile gelangen.

Bei der Überprüfung von Office Apps stellten die Tester fest, dass einige zwar den Heartbleed-Fehler enthalten, in allen Fällen aber auf die Verschlüsselung des Betriebssystems zurückgreifen. Dadurch lässt sich die Schwachstelle nicht ausnutzen, selbst wenn sie vorhanden ist.

Heartbleed-Scanner im Test

FireEye hat keine Liste der anfälligen Android-Apps veröffentlicht und stattdessen die jeweiligen Entwickler informiert. Eine Überprüfung der 17 im Google Play Store angebotenen Heartbleed-Scanner ergab folgendes:

  • Lediglich sechs der getesteten Apps bieten auch die Möglichkeit zum Scannen von installierten Apps.
  • Von diesen sechs Anwendungen arbeiteten nur zwei zuverlässig beim Scan.
  • Etliche der Heartbleed-Scanner im Google Play Store sind Fälschungen und dienen einzig dem Anzeigen von Werbung.

Im Testzeitraum vom 10. Mai bis zum 17. Mai 2014 konnte FireEye einen Rückgang der Downloads von angreifbaren Apps verzeichnen. Das ist auf die Reaktion der Entwickler zurückzuführen, die nach und nach ihre Anwendungen mit einer fehlerfreien OpenSSL-Version aktualisieren. Die Zahl der betroffenen Apps nimmt insgesamt also ab.

Was können Anwender tun?

Unsere detaillierte Anleitung zeigt, wie die Überprüfung funktioniert. Nutzer einer anfälligen Android-Version müssen auf eine Aktualisierung des Betriebssystems warten. Google hat die fehlerfreien Versionen schon bereit gestellt. Nun liegt es bei den Anbietern, diese aktualisierte Android-Version auch auszuliefern. Informationen und Erklärungen zum Heartbleed-Fehler geben wir in unserer Zusammenfassung der OpenSSL-Sicherheitslücke.

Downloads

Passende Artikel

Quelle: FireEye

Google Street View als Zeitmaschine, Die Sims 4, Heartbleed-Fehler in Android-Apps

Google ermöglicht das Betrachten alter Street View-Aufnahmen von 2007 und danach, Hersteller EA Maxis wird Die Sims 4 auf der Spielemesse E3 2014 im Juni in Los Angeles zeigen und die Sicherheitsexperten von FireEye haben sich mit dem Heartbleed-Fehler in Android-Apps auseinandergesetzt – der Nachrichtenüberblick.

  • Google Street View Zeitmaschine: Google erlaubt jetzt das Betrachten von früheren Aufnahmen des Dienstes Street View. Dadurch können Nutzer die Entwicklung von Straßen und Städten nachverfolgen und in der Zeit zurück reisen – zumindest bis ins Jahr 2007, aus dem die ersten Aufnahmen stammen.
  • Heartbleed-Fehler und Android-Apps: Die Sicherheitsexperten von FireEye haben den Heartbleed-Fehler in Android-Apps analysiert. Ihrem Test zufolge arbeiten nicht alle Heartbleed-Checker zuverlässig. Laut FireEye sind es unter den populären Android-Apps vor allem Spiele, die noch eine fehlerhafte Version von OpenSSL einsetzen.
  • Twitter Passwort-Reset: Vorsicht vor Phishing-Angriffen in Zusammenhang mit Twitter. Bei Problemen mit einem Konto fordert Twitter seine Nutzer per E-Mail zur Passwortänderung auf. Laut sueddeutsche.de nutzen Angreifer dies aus und verschicken gefälschte E-Mails, die Twitters Aufforderung ähneln. Auf den richtigen Absender ist unbedingt zu achten.
  • Beliebte Messenger-Apps: Line veröffentlicht erstmals Angaben zu den aktiven Nutzern pro Monat: Weltweit kann der Dienst 150 Millionen vorweisen. Der Facebook Messenger bringt es auf 200 Millionen aktive Nutzer pro Monat. WhatsApp bleibt Nummer eins mit 500 Millionen.

Updates

  • Fernsehsuche auch für iPhone: Die Suchmaschine für Inhalte von Fernsehsendern läuft jetzt auch auf dem iPhone. Bisher war die iOS-Version Tablet-Nutzern vorbehalten. Mit Fernsehsuche für iOS lässt sich Sehenswertes und aktuelle Sendungen in den Sender-Mediatheken finden.
  • Vevo für iOS: Vevo bietet Zugriff auf die größte Sammlung offizieller Musikvideos. Die neue iOS-Version kommt mit einem komplett neuen Design, neuen Kanälen und einem Fenster zum gleichzeitigen Anschauen und Suchen von Videos.
  • Instagram: Die Plattform zum Teilen von Fotos hat die Explore-Funktion überarbeitet. Instagram präsentiert unter diesem Reiter in der App ab sofort mehr Bilder aus dem Follower-Kreis, also Aufnahmen, die Freunden und Bekannten gefallen, gemischt mit aktuellen Trends.

Spiele

  • Flappy48: Die Mischung macht’s – Flappy48 kombiniert die beiden erfolgreichen Spiele Flappy Bird und 2048 zu einem süchtig-machenden Meisterwerk. Flappy48 ist kostenlos für Android verfügbar und lässt sich mit dem Unity Web Player auch im Browser spielen.
  • Die Sims 4: Der Hersteller des beliebten Spiels Die Sims hat bestätigt, die vierte Ausgabe des Spiels auf der Spielemesse E3 in Los Angeles zeigen zu wollen. Die Veröffentlichung von Die Sims 4 wird für Herbst 2014 erwartet.
  • XCOM: Enemy Unknown: Das rundenbasierte Strategiespiel soll bald auch für Android erscheinen. XCOM: Enemy Unkown lässt den Spieler eine Spezialeinheit aufbauen und gegen außerirdische Invasoren in den Kampf führen. Nach Aussagen des Herstellers steht die Android-Version kurz vor der Fertigstellung.
  • H1Z1: Das Zombie-Überlebensspiel von Sony zeigt sich in einem ersten Video. H1Z1 für den PC soll in nur wenigen Wochen starten und bietet eine riesige Spielwelt, mit der mehrere tausend Spieler gleichzeitig interagieren können.

OpenSSL-Sicherheitslücke: Sicherheitsexperten beantworten wichtige Fragen zum Heartbleed-Fehler

Nach wie vor verunsichert der Heartbleed-Fehler Internetnutzer. Welche Internetseiten sind betroffen? Müssen Anwender ihre Passwörter ändern? Wird die Gefahr unnötig hochgespielt? Wir haben Sicherheitsexperten um ihre Ratschläge und Meinungen zur aktuellen Sicherheitslücke gebeten.

Softonic-Sicherheitsexperte Fabrizio Ferri sprach mit Geoffroy Couprie von TextSecure und Lorenzo Martínez Rodríguez von Securízame. Wir haben die Antworten der beiden Sicherheitsexperten zu häufigen Anwender-Fragen bezüglich des Heartbleed-Fehlers zusammengefasst. (Die Hervorhebungen dienen der Betonung wichtiger Punkte und geben unsere Dringlichkeitseinschätzung wieder).

Wird die Heartbleed-Gefahr in den Medien übertrieben oder heruntergespielt?

Couprie: Die Gefahr wird nicht aufgebauscht. Es handelt sich um den seltenen Fall, in dem Sicherheitstechnologie durch ihren Einsatz die Dinge verschlimmert. Aber das Ausmaß des Fehlers wird allgemein unterschätzt. Viele Unternehmen haben fälschlicherweise angenommen, nicht betroffen zu sein.

Rodríguez: Meiner Meinung nach hatte die Presse wenig Einfluss auf einen Fall dieses Ausmaßes. Selbst wenn nur fünf Millionen Server betroffen sind, ist das Auslesen von Teilen des Arbeitsspeichers immer noch eine große Sicherheitslücke, da sensible Daten enthalten sein können. Wir haben gesehen, dass es sogar möglich ist, den privaten Schlüssel eines SSL-Zertifikates zu erlangen. Die OpenSSL-Sicherheitslücke erstreckt sich außerdem auf weitere Geräte wie kommerzielle Router und Firewalls.

Was ist die wirkliche Gefahr für Nutzer beim täglichen Surfen im Internet?

Couprie: Der Angriff auf einen Webserver kann Daten offenbaren, die über den Server liefen. Das können Passwörter, Cookies oder alle möglichen anderen, vertraulichen Informationen sein: Kreditkartennummern, Adressen, Telefonnummern. Was den meisten weniger bewusst ist: Auch Endgeräte können betroffen sein, also iPhones und Android-Smartphones. Hier wurden eventuell ebenfalls vertrauliche Dinge preisgegeben.

Rodríguez: Durch das breite Bekanntwerden des Fehlers und dem Zeitfenster zwischen der Veröffentlichung und dem Schließen der Sicherheitslücke sind unsere Daten bei betroffenen Anbietern als nicht sicher einzustufen.

Haben Sie Ihr Passwort auf vom Heartbleed-Fehler betroffenen Seiten geändert?

Couprie: Ja. Das erfordert zwar Zeit, ist aber notwendig. Gleichzeitig ist es ein guter Moment, um auf einen Passwort-Manager umzusteigen, anstatt überall das selbe Passwort zu verwenden oder zu versuchen, sich zwanzig verschiedene zu merken.

Rodríguez: Natürlich! Mashable hat eine zusammenfassende Liste mit vielen betroffenen Seiten veröffentlicht. Der Heartbleed-Fehler betraf mich aber nicht nur als Nutzer, sondern auch geschäftlich: Wir haben unsere Kunden von Securízame durch den dringend notwendigen Prozess der Reaktion begleitet. Die betroffenen Dienste sind ja nicht nur Internetseiten, sondern auch E-Mail-Server und VPN-Lösungen.

Was halten Sie von den Berichten, dass die NSA den Heartbleed-Fehler für Spionagezwecke ausgenutzt hat?

Couprie: Nicht viel. Es hat keine Zweck, sich über die NSA den Kopf zu zerbrechen, wenn sich der Fehler von jedermann ebenso  leicht ausnutzen lässt. Fehler beheben, Anwender in Kenntnis setzen, das Leben geht weiter.

Rodríguez: Wir sind es gewöhnt, uns die NSA als diesen großen Apparat vorzustellen, der über genügend Kapazitäten verfügt, sich das Internet für seine Interessen zunutze zu machen. Daher überrascht mich die Annahme kaum, dass die NSA ihre Finger im Spiel hatte. Wer viele Dienste gleichzeitig kontrollieren will, der greift die Basis dieser Dienste an. Erst vor kurzem habe ich mich skeptisch zu den Sicherheitslücken in Apples GNUTLS-Verschlüsselung geäußert (Artikel auf Spanisch).

Welchen Rat können Sie unseren Lesern geben?

Couprie: Wer auf Online-Dienste angewiesen ist, die bisher noch nicht auf den Heartbleed-Fehler reagiert haben oder ihre Nutzer noch nicht informiert haben, sollte nicht locker lassen, bis die Schwachstelle behoben ist. Oder wechseln Sie zu einem anderen Anbieter. Die Lücke lässt sich schnell schließen – einem Anbieter, der dazu nicht in der Lage ist, sollte man seine Daten nicht anvertrauen.

Rodríguez: Nutzen Sie im Augenblick nur die wichtigsten Dienste, oder solche, die nicht angreifbar sind, entweder weil sie kein OpenSSL verwenden oder den Fehler bereits beseitigt haben. Ändern Sie Ihr Passwort bei Anbietern, nachdem diese OpenSSL auf die fehlerfreie Version aktualisiert haben. Verwenden Sie lange und komplexe Passwörter mithilfe eines Wörterbuchs. Vergeben Sie kein Passwort doppelt, und greifen Sie auf einen Passwort-Manager zurück, wenn Sie sich all die unterschiedlichen Konten nicht merken können. Andere Möglichkeiten, die Sicherheit zu erhöhen, sind die Bestätigung in zwei Schritten und Dienste wie Latch Eleven Paths. Informieren Sie sich in Zukunft über auftretende Sicherheitslücken so schnell wie möglich, um zügig reagieren zu können und das Risiko zu minimieren.

Weiterführende Informationen

Welche bekannten Internetseiten und Anbieter sind oder waren vom Heartbleed-Fehler betroffen? Wir haben eine Übersicht zusammengestellt. Außerdem geben wir ausführliche Informationen, wie Sie Ihre Internetkonten nach der OpenSSL-Sicherheitslücke wieder sicher machen.

Passende Artikel

Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Der Heartbleed-Fehler wurde schon vielfach zur größten Sicherheitslücke in der Geschichte des Internet erklärt. Ein Fehler in einem Modul der weit verbreiteten Kryptographie-Bibliothek OpenSSL lässt sich zum Ausspähen des verschlüsselten Datenverkehrs ausnutzen. Seit Bekanntwerden der Schwachstelle aktualisieren Webdienste ihre Server. Anhand von Listen können Anwender überprüfen, welche Internetseiten die Sicherheitslücke schon behoben haben und welche eventuell noch betroffen sind.

Passwort erst nach der Fehlerbehebung ändern

Der Fehler lässt sich durch eine Aktualisierung der OpenSSL-Version beheben. Diese Aktualisierung müssen aber die Seitenbetreiber vornehmen. Nutzer können nur kontrollieren, wer dies bereits getan hat, und welche Seiten erst gar nicht betroffen waren. Wichtig ist aber, Passwörter und Zugangsdaten erst nach der Fehlerbehebung zu aktualisieren. Da der Fehler jetzt weit bekannt ist, sollte man das Eingeben von Passwörtern und vertraulichen Informationen auf anfälligen Seiten vermeiden – auch das Ändern der Zugangsdaten. Wir fassen in einer detaillierten Anleitung zusammen, wie Sie Ihre Internetkonten wieder sicher machen.

Google: Fast alle Dienste aktualisiert, nur Android 4.1.1 ist betroffen

Google gibt auf dem Sicherheitsblog des Unternehmens bekannt, dass fast alle Dienste bereits aktualisiert sind. Dazu zählen Gmail, Google Play, die Google Suche, Apps und YouTube. Chrome und ChromeOS sind nicht betroffen. Android ist so gut wie sicher, lediglich die Version 4.1.1 weist die Sicherheitslücke auf. Google hat hier den Softwarepatch bereits fertig gestellt und arbeitet mit Geräteherstellern und Mobilfunkunternehmen zusammen, um die Aktualisierung auszuliefern.

Listen der betroffenen Seiten

Inzwischen haben viele Anbieter bekannte Internetseiten und Portale auf die Schwachstelle geprüft. Mithilfe eines Test-Skripts haben Entwickler auf dem Portal Github eine lange Liste von betroffenen Servern zusammengetragen. Auch die Hersteller des Passwort-Managers LastPass bieten eine Liste an, außerdem stellen sie einen Heartbleed-Test zur eigenen Überprüfung beliebiger Seiten zur Verfügung. Mashable bietet eine Übersicht beliebter sozialer Netzwerke und Portale und zeigt denn aktuellen Status an.

Insgesamt lässt sich nur in etwa abschätzen, wie viele Internetseiten und Server durch den Heartbeat-Fehler angreifbar sind oder waren. OpenSSL kommt auf rund zwei Dritteln aller Internetseiten weltweit zum Einsatz. Die Schwachstelle befindet sich aber im sogenannten Heartbeat-Modul – daher der angelehnte Name Heartbleed. Dieses Modul ist weit weniger verbreitet und betrifft rund 17 Prozent aller SSL-Server. Die Schwachstelle macht aber die Kommunikation eines betroffenen Servers mit geschützten Servern angreifbar.

Sicherheitsexperte von Microsoft arbeitet für die Entdecker des Heartbeat-Fehlers

Sicherheitsexperten von Codenomicon haben den Heartbeat-Fehler entdeckt und eine entsprechende Informationsseite eingerichtet. Server-Administratoren haben kritisiert, dass Codenomicon die Schwachstelle öffentlich publiziert hat, bevor einige Betroffene reagieren konnten. Howard Schmidt, der Aufsichtsratsvorsitzende bei Codenomicon, hatte vorher den Posten des höchsten Sicherheitsbeauftragen, und zwar bei Microsoft. Für Jacob Appelbaum vom Anonymisierungsdienst Tor ist das kein Zufall, ebenso wenig wie der Zeitpunkt der Veröffentlichung.

Der Heartbleed-Fehler bestand seit zwei Jahren, aber genau am 8. April 2014 geht Codenomicon damit an die Öffentlichkeit, mit einer eigenen Internetseite und einem Logo. Zum gleichen Zeitpunkt veröffentlicht Microsoft die letzten Sicherheitsupdates für Windows XP. Howard Schmidt ist nach wie vor Mitglied der Abteilung für Sicherheitsentwicklung von Microsoft.  Aus der Linux-Gemeinde werden daher Stimmen laut, dass die Heartbleed-Bekanntmachung auch die Sicherheit von Linux und Open-Source anschwärzen will.

Passende Artikel

Quelle: Google Online Security Blog | LastPass | Mashable | Techrights | Github

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?

Der sogenannte Heartbleed-Fehler stellt eine gravierende Sicherheitslücke dar und betrifft unzählige Internetseiten und Server. Eine Liste mit bekannten Internetseiten gibt Einblick, wer von dem Sicherheitsproblem betroffen ist. Eine eingerichtete Testseite zur eigenen Überprüfung ist wegen der hohen Nachfrage immer wieder überlastet.

Was ist der Heartbleed-Fehler?

Der Fehler tritt im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL auf, die weit verbreitet und auf vielen Servern zur Verschlüsselung des Datenverkehrs im Einsatz ist. Durch die Schwachstelle können Angreifer den Arbeitsspeicher des Servers auslesen. Dadurch werden die Schlüssel preisgegeben und der gesamte Datenverkehr lässt sich ausspähen. Die Sicherheitsexperten von Codenomicon, die den Fehler entdeckt haben, tauften die Sicherheitslücke Heartbleed.

Welche Internetseiten sind betroffen?

Eine vollständige Liste von betroffenen Seiten gibt es zu diesem Zeitpunkt nicht. Ein Update zur Behebung der Sicherheitslücke steht schon zur Verfügung. Viele Server-Administratoren haben reagiert, wodurch die Gesamtanzahl der anfälligen Seiten also abnehmen sollte. Nach Stand vom 8. April 2014 zählten Yahoo, Flickr, OKCupid, Imgur und Eventbrite zu bekannten Seiten, auf denen eine anfällige OpenSLL-Version läuft. Mit dem Heartbleed Test lassen sich Seiten überprüfen, allerdings arbeitet der Test wegen der hohen Nachfrage nicht immer zuverlässig. Mehrere Listen zeigen die häufigsten Abfragen und das entsprechende Ergebnis.

Warum ist der Fehler so schwerwiegend?

Der Heartbleed-Fehler besteht seit 2011 und betrifft alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f. Die Kryptographie-Bibliothek kommt auf auf geschätzten zwei Dritteln aller Server im Internet zum Einsatz. Zusätzlich lässt sich das Ausnutzen der Sicherheitslücke nicht nachvollziehen, es kann also nicht festgestellt werden, welche Daten eventuell ausgespäht wurden. Die Art des Fehlers ist selten, da durch die Lücke mehr Daten gefährdet sind als ursprünglich geschützt werden sollten. Im Endeffekt ist eine fehlerhafte OpenSSL-Verschlüsselung also schlechter als gar keine Verschlüsselung.

Was können Anwender tun?

Es empfiehlt sich, häufig genutzte Seiten zu kontrollieren: Welche Verschlüsselungsmethode kommt zu Einsatz? Falls OpenSSL im Einsatz ist, welche Version? Wurde der Heartbleed-Fehler schon behoben? Das Ändern wichtiger oder sogar aller Passwörter ist nie falsch, jedoch sollte es in jedem Fall nach dem Update auf die fehlerfreie OpenSLL-Version 1.0.1f erfolgen. Anwender müssen keine Software auf ihren Rechnern nicht aktualisieren. Doppelte Verschlüsselung hilft auch: Sobald zusätzlich eine zweite Verschlüsselung wie zum Beispiel Perfect Forward Secrecy (PFS) zum Einsatz kommt, besteht keine Anfälligkeit für den Heartbleed-Fehler. PFS-Verbindungen nutzen unter anderem Posteo und Strato, bei T-Online und United Internet, also GMX und Web.de, ist die Einführung geplant.

Passwort ändern

Inzwischen sind einige Online-Dienste dazu übergegangen, nach Schließen der Sicherheitslücke zur Änderung des Passwortes aufzufordern. Wegen der Aktualisierung hat Minecraft-Hersteller Mojang gestern die Server für einige Zeit heruntergefahren. Heute rät Mojang seinen Nutzern, ihre Passwörter für Minecraft zu ändern. Auch Soundcloud ergreift entsprechende Maßnahmen: Alle Nutzer der Musik-Plattform werden im Laufe des heutigen Tages abgemeldet. Beim erneuten Anmelden erhalten Sie eine Aufforderung zur Passwort-Änderung.

Update 09.04.2014 15.30 Uhr: Wir haben Informationen zur Passwort-Änderung bei Minecraft und Soundcloud eingefügt.

Passende Artikel

Quelle / Bild: Heartbleed | Github

Via: GigaOM

Heartbleed-Fehler betrifft viele Internetseiten, Facebook-Privatsphäre, Windows 8.1 Update 1

Inzwischen gibt es eine Liste bekannter Internetseiten, welche die Sicherheitslücke und der Heartbleed-Fehler betrifft, Facebook testet neue Einstellungen zur Privatsphäre und Microsoft hat Windows 8.1 Update 1 veröffentlicht – der Nachrichtenüberblick.

  • Heartbleed-Fehler und OpenSSL: Eine massive Sicherheitslücke in der Kryptographie-Bibliothek betrifft viele Internetseiten. Inzwischen zeigt eine Liste, welche bekannten und wichtigen Seiten vom sogenannten Heartbleed-Fehler betroffen sind.
  • Facebook Privatsphäre-Einstellungen: Facebook ändert die Einstellungen zur Privatsphäre, um Nutzern die Kontrolle über ihre Inhalte zu erleichtern. Damit ist es leichter, Posts nur mit einer bestimmten Zielgruppe zu Teilen. Außerdem will Facebook Nutzer mit Popups darauf hinweisen, ihre Einstellungen öfters zu kontrollieren.
  • YouTube-Sperre in der Türkei: Die Blockade von YouTube in der Türkei ist zwar noch aktiv, dafür wurde aber die Sperre mehrerer DNS-Server aufgehoben, darunter Google und OpenDNS. Dadurch wird es für türkische Nutzer wieder leichter, die Sperre zu umgehen.
  • EU kippt Vorratsdatenspeicherung: Der Europäische Gerichtshof in Luxemburg hat das umstrittene EU-Gesetz zur Vorratsdatenspeicherung für verfassungswidrig erklärt. Die Regelung verstößt gegen EU-Recht und muss auf das Notwendigste beschränkt werden, fordert das Gericht.

Updates

  • Windows 8.1 Update 1: Microsoft hast die erst Aktualisierung für Windows 8.1 veröffentlicht. Das Update 1 verbessert die Bedienung des Betriebssystems mit der Kachel-Oberfläche für Anwender ohne Touch-Steuerung.
  • Chrome: Google hat den Browser für Windows und Mac aktualisiert. Neben Fehlerbehebungen bringt Chrome 34 neue Web-Apps und ein neues Design für Windows 8 Modern UI.

Spiele

  • Minecraft 1.7.6: Mojang veröffentlicht heute die neue Version 1.7.6 von Minecraft. Die Aktualisierung führt eine eindeutige Nutzer-ID ein und ist daher nicht mit Minecraft 1.7.5 kompatibel. Das Update stand bisher schon als Vorab-Version zur Verfügung.
  • The Walking Dead: Zwei Jahre nach dem Start des Spiels ist die erste Staffel von The Walking Dead auch auf Android angekommen. Das Spiel an sich ist kostenlos, die einzelnen Episoden müssen aber über In-App-Käufe freigeschaltet werden.
  • Rennspiel The Crew: Im Herbst startet The Crew, ein Massively Multiplayer Online-Rennspiel. Im vergangenen Jahr hat Ubisoft The Crew bereits auf der E3 vorgestellt, der Start hat sich aber verzögert. Das Spiel erscheint für PC, PlayStation 4 und Xbox One.

Verschlüsselung: Mehr als die Hälfte aller Internetseiten betrifft die OpenSSL-Sicherheitslücke Heartbleed

Sicherheitsexperten haben eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL ermittelt. Der sogenannte Heartbleed-Fehler betrifft unzählige Web- und Mailserver und Schätzungen zufolge mindestens die Hälfte aller Internetseiten. Server-Administratoren müssen das Problem mit einem Update beheben. Anwender können mit einer Testseite überprüfen, ob die von ihnen genutzten Internetseiten betroffen sind. Derzeit sind Yahoo und flickr gefährdet und haben das Problem noch nicht behoben.

Was ist OpenSSL und der Heartbleed-Fehler?

OpenSSL ist eine weit verbreitete Kryptographie-Bibliothek, die auf Servern zur Verschlüsselung des Datenverkehrs eingesetzt wird. Sicherheitsexperten von Codenomicon haben eine Schwachstelle ausfindig gemacht, über die sich der Arbeitsspeicher des Servers auslesen lässt. Dadurch können Angreifer an die Schlüssel gelangen und den Datenverkehr mitlesen. Somit sind von betroffenen Servern übertragene Daten, E-Mails, Passwörter und Chatnachrichten nicht mehr sicher. Weil der Fehler im sogenannten Heartbeat-Modul von OpenSSL auftritt, tauften ihn die Endecker Heartbleed.

So lassen sich Seiten auf Sicherheit überprüfen

Auf der Internetseite Heartbleed Test können Nutzer eine Internetadresse eingeben und überprüfen, ob diese vom Heartbleed-Fehler betroffen ist. Wegen der großen Nachfrage ist die Seite aber zeitweise überlastet. Die Server-Administratoren müssen betroffene Seiten aktualisieren, Anwender können selbst nur warten. Alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f sind anfällig, Version 1.0.1g behebt den Fehler.Flickr Hearbeet Fehler

So sieht ein Treffer aus: Flickr ist vom Heartbleed-Fehler betroffen.

Yahoo und Flickr betroffen, Posteo hat schon ausgebessert

Aktuell sind Yahoo.com und Flickr.com von der Sicherheitslücke betroffen. Der Heartbleed Test ergibt, dass die Verschlüsselung geknackt werden kann. Das Ergebnis heißt nicht, dass auf die Seiten ein Angriff bereits stattgefunden hat.

Der deutsche E-Mail-Anbieter Posteo hat eine Stellungnahme zum Heartbleed-Fehler veröffentlicht und versichert seinen Nutzern, die Verschlüsselungssoftware bereits aktualisiert zu haben. Zusätzlich hat der Anbieter neue Schlüssel generiert und diese der Zertifizierungsstelle zur Beglaubigung vorgelegt. Wenn diese verfügbar sind, wird Posteo erneut informieren.

Es empfiehlt sich, tatsächlich betroffene Seiten vorerst nicht zu besuchen oder zumindest dort keine vertraulichen Daten einzugeben, bis die entsprechende OpenSSL-Version nachgebessert wurde. Eine kriminelle Ausnutzung des Fehlers ist bisher noch nicht bekannt, allerdings ist es nahezu unmöglich, einen Angriff festzustellen.

Update 08.04.2014 15:15 Uhr: Wie eine Überprüfung mit dem Heartbleed Test zeigt, sind derzeit Yahoo und das zu Yahoo gehörende Foto-Portal Flickr von der Sicherheitslücke betroffen. Posteo hat eine Stellungnahme veröffentlicht und den Fehler breits ausgebessert.

Passende Artikel

Quelle / Bild: Heartbleed