Heartbleed

Heartbleed, Phishing und Co. – Die Gefahren im Netz

Heartbleed, Phishing und Co. – Die Gefahren im Netz
Noch nicht bewertet. Sei die/der Erste!

145 Millionen geklaute Kundenpasswörter! Diese Schreckensmeldung gestand eBay vor wenigen Tagen. Auch die Telekom schlug ähnlichen Alarm: Im Anhang gefälschter Mails verschickten Betrüger einen gefährlichen Virus an unzählige User. Dass selbst die Kunden solch angesehener Online-Anbieter nicht mehr sicher sind, verdeutlicht die Notwendigkeit einer Antivirensoftware auf jedem PC oder Mac.

Auch die Android-Fans sollten sich mobil wappnen: Heutzutage feiern die Smartphones und Tablets zwar Verkaufsrekorde und lösen zunehmend die guten alten Rechner ab. Zeitgleich sind sie aber auch attraktive Zielscheiben für Netz-Attacken. Die meisten Produkte haben mittlerweile ein Android-Betriebssystem installiert, welches für Hacker ganz neue Anreize schafft. Etwa 99 Prozent der mobilen Malware wird für das Google-Betriebssystem programmiert. Abgesehen von der hohen Verbreitung dürfte auch die Tatsache, dass es sich um ein sehr freies Betriebssystem handelt, eine wesentliche Rolle spielen: Anders als bei iOS oder Windows Phone wird der Google Play Store nicht so restriktiv überwacht, was schädlichen Apps den Zugang vereinfacht. Weiterlesen

Heartbleed-Bug in OpenSSL – Konsequenzen

Heartbleed-Bug in OpenSSL – Konsequenzen
Noch nicht bewertet. Sei die/der Erste!

Die Medien sind voll davon. Ein Bug in der OpenSSL-Bibliothek macht es möglich, den RAM von betroffenen Servern auszulesen und damit evlt. Passwörter mitzuschneiden.

Da das bei den meisten Servern der Fall war, gab es bis dato praktisch kaum Sicherheit der über HTTPS übertragenen Daten.

Jedoch können hier nicht Teile des kompletten Arbeitsspeichers ausgelesen werden, sondern nur die, auf die OpenSSL selbst Zugriff besitzt und damit auch auf die privaten Schlüssel.

Wie genau sich der Bug ausnutzen lässt, möchte ich hier in der „Kurzmitteilung“ nicht beschreiben. Schließlich gibt es dafür genug andere Beiträge auf anderen Seiten.
Außerdem möchte ich dazu keine Anleitung geben ;).

Die Konsequenzen hieraus sind jedoch gravierenden.
Nicht nur für die Betreiber, sondern auch für die User. Da der verschlüsselte Verkehr möglicherweise bereits von irgendjemanden mitgelesen worden ist, sei es ein Angreifer oder ein Geheimdienst, kennt dieser wahrscheinlich ein oder mehrere Passwörter und hat dadurch Zugang zu DEINEN Accounts bei von dem Bug betroffenen Dienstleistern erlangen.

Darum sollten schnellst möglich die Passwörter geändert werden. Solltest du ein Betreiber einer Seite oder eines Dienstes sein, der die betroffene OpenSSL-Bibliothek einsetzt und bis jetzt noch immer nicht aktualisiert haben, wird es aller höchste Zeit dies zu tun. Ab der Version 1.0.1g und vor 1.0.1 bist du davor sicher.

Neben der Aktualisierung, solltest du auch umgehend die Zertifikate und damit die Schlüssel neu ausstellen (lassen).
Nur so kannst du deinen Besuchern wieder mehr Sicherheit bieten. Absolute Sicherheit gibt es sowieso nicht…

Auch einige meiner Server waren betroffen, die Lücken wurden von mir natürlich sofort geschlossen, indem ich die Zertifikate neu ausgestellt und die Bibliothek aktualisiert habe.
Nur dieser Server, der diese Seite hostet, war nicht von dieser Lücke betroffen.