OpenSSL ist eine freie Technologie, mit welcher Verbindungen im Internet verschlüsselt werden. Am Montagabend (07.04.2014) wurde der sogenannte «HeartBleed- Bug» öffentlich bekannt. Dabei handelt es sich um einen groben Fehler in OpenSSL Implementationen der Versionen 1.0.1 bis und mit 1.0.1f. Dieser Fehler ermöglicht es  Angreifern, alle eigentlich verschlüsselt-übertragenen Informationen auszulesen. Kryptographie-Experte Bruce Schneier nannte den Bug katastrophal, auf einer Skala von 1 bis 10 sei er auf der 11

Betroffen sind ca. 66% aller Internet-Webseiten inklusive Facebook, eBay, Onlinebanking, Mails, Dropbox doch was nun? Was gilt es zu tun?

Hier nun einige Tipps unsererseits:

Als Anwender:

1. Updates installieren (auf eurem System – immer eine gute Idee)
2. Die Webseite, welche ihr besuchen wollt zuerst testen:
   • http://filippo.io/Heartbleed/
   • http://possible.lv/tools/hb/
3. Das Zertifikat (Im Browser oben den grünen Schlüssel bei https) prüfen, ob das Ausstellungsdatum frühstens der 08.04.2014 ist! (Wink an Facebook g*)
4. Falls obiges alles i.O. – Euer Passwort ändern (überall bitte ein unterschiedliches) und euch einloggen

Als Serverbetreiber (Windows/IIS ist nicht betroffen):

1. Updates installieren (Kontrollieren ob mind. OpenSSL 1.0.1g)
   -> OpenSSL Version
2. Falls nicht OpenSSL 1.0.1g oder höher installiert war, neue Zertifikate ausstellen (lassen) (Da der PK seit bestehen des Bugs = 2 Jahre, ohne Spuren bereits geklaut sein könnte)

Weitere Links:
– 20140408 Golem.de: SICHERHEITSLÜCKE: Keys auslesen mit OpenSSL
– 20140408 TheHackerNews.com: OpenSSL Zero-day Bug leaves Millions of websites Vulnerable
– 20140408 Netcraft: Half a million widely trusted websites vulnerable to Heartbleed bug
– 20140408 Netzpolitik.org: Heartbleed, ein OpenSSL Bug der Weitreichende Folgen haben kann
– 20140410 Netzpolitik.org: Drei Tage HeartBleed, was tun?