OpenSSL ist eine freie Technologie, mit welcher Verbindungen im Internet verschlüsselt werden. Am Montagabend (07.04.2014) wurde der sogenannte «HeartBleed- Bug» öffentlich bekannt. Dabei handelt es sich um einen groben Fehler in OpenSSL Implementationen der Versionen 1.0.1 bis und mit 1.0.1f. Dieser Fehler ermöglicht es Angreifern, alle eigentlich verschlüsselt-übertragenen Informationen auszulesen. Kryptographie-Experte Bruce Schneier nannte den Bug katastrophal, auf einer Skala von 1 bis 10 sei er auf der 11
Betroffen sind ca. 66% aller Internet-Webseiten inklusive Facebook, eBay, Onlinebanking, Mails, Dropbox doch was nun? Was gilt es zu tun?
Hier nun einige Tipps unsererseits:
Als Anwender:
- Updates installieren (auf eurem System – immer eine gute Idee)
- Die Webseite, welche ihr besuchen wollt zuerst testen:
- Das Zertifikat (Im Browser oben den grünen Schlüssel bei https) prüfen, ob das Ausstellungsdatum frühstens der 08.04.2014 ist! (Wink an Facebook g*)
- Falls obiges alles i.O. – Euer Passwort ändern (überall bitte ein unterschiedliches) und euch einloggen
Als Serverbetreiber (Windows/IIS ist nicht betroffen):
- Updates installieren (Kontrollieren ob mind. OpenSSL 1.0.1g)
-> OpenSSL Version - Falls nicht OpenSSL 1.0.1g oder höher installiert war, neue Zertifikate ausstellen (lassen) (Da der PK seit bestehen des Bugs = 2 Jahre, ohne Spuren bereits geklaut sein könnte)
Weitere Links:
– 20140408 Golem.de: SICHERHEITSLÜCKE: Keys auslesen mit OpenSSL
– 20140408 TheHackerNews.com: OpenSSL Zero-day Bug leaves Millions of websites Vulnerable
– 20140408 Netcraft: Half a million widely trusted websites vulnerable to Heartbleed bug
– 20140408 Netzpolitik.org: Heartbleed, ein OpenSSL Bug der Weitreichende Folgen haben kann
– 20140410 Netzpolitik.org: Drei Tage HeartBleed, was tun?