#HeartBleed: Muss ich mein Passwort ändern?

heartbleedWie im vorangegangenen Artikel erklärt, sind 66% aller Webseiten vom sogenannten #HeartBleed-Bug betroffen. Es gibt bereits einige Check-Webseiten, die andere Seiten auf Angriffe per #HeartBleed Bug testen:

Es ist derzeit nicht abschätzbar, ob Daten ausgelesen wurden. Da ein Angriff überhaupt keine Spuren hinterlässt, wird sich hierzu auch nie eine präzise Aussage machen lassen. Auf Grund der enormen Anzahl betroffener Dienste und Server muss aber davon ausgegangen werden. Wir empfehlen den Benutzern deswegen dringend, alle Passwörter zu ändern. Aber erst, sobald die Probleme auf den Servern behoben wurden!

Wir führen daher hier eine Liste (wird fortlaufend ergänzt) der bekannteren Webseiten. Die Frage dreht sich um „muss ich mein Passwort ändern?“.

  • Falls „Nein“, war diese Seite nicht betroffen.
  • Falls ‚NOCH NICHT‘, ist die Seite betroffen, aber entweder wurde OpenSSL noch nicht aktualisiert oder die Zertifikate wurden noch nicht erneuert. Da der PK vom SSL während 2 Jahren abgefangen werden konnte, muss mit dem Passwort ändern NOCH gewartet werden.
  • Falls „JA“, war die Seite betroffen, wurde aber korrekt aktualisiert und man muss nun sein Passwort ändern:


,Nutzt OpenSSL?,OpenSSL aktuell?,Zertifikat erneuert?,Muss ich mein Passwort ändern?
google.ch, Nicht mehr, -, Nein**, yesJA
Microsoft, Nein, -, -, Nein
apple.ch, Ja, Nein*, Nein, Nein
gmail.com, Nicht mehr, – , Nein**, yesJA
hotmail.com, Nein, -, -, Nein
gmx.ch***, Ja, Ja, Ja, yesJA
bluewin.ch, Ja, Ja, Ja, yesJA
youtube.com, Nicht mehr, -, Nein**, yesJA
facebook.com, Nicht mehr, -, Nein (28.10.2013), noNOCH NICHT
twitter.com, Ja, Ja, Ja, yesJA
dropbox.com, Ja, Ja, Ja, yesJA
raiffeisen.ch, Ja, Ja, Ja, yesJA
ubs.ch, Nein, -, -, Nein
credit-suisse.com, Ja, Ja, Ja, yesJA
postfinance, Nein, -, -, Nein
Walliser Kantonalbank, Ja, Ja, Ja, yesJA
viseca.ch, Ja, Ja, Ja, yesJA
SBB.ch, Ja, Ja, Ja, yesJA
Whatsapp, Nein, -, -, Nein
MySMS, Nicht mehr, -, Ja, yesJA
Steam, Ja, Ja, Ja, yesJA
Ricardo.ch, Nein, -, -, Nein
Ebay.ch, Nein, -, -, Nein
Valaiscom, Nein, -, -, Nein
CrashPlan.com, Ja, Ja, Ja, yesJA
Swisscom.ch, Nein, -, -, Nein
github.com, Ja, Ja, Ja, yesJA
Wikipedia, Ja, Ja, Ja, yesJA
Instagram, Ja, Ja, Ja, yesJA
LinkedIn, Nein, -, -, Nein
Pinterest, Ja, Ja, Ja, yesJA
PayPal, Nein, -, -, Nein
Flickr****, Ja, Ja, Ja, yesJA
Minecraft, Ja, Ja, Ja, yesJA
Zalando.ch, Nein, -, -, Nein
[/table]
*   Apple nutzt eine uralte Version von OpenSSL, welche den #HeartBleed Bug nicht implementiert hat und ist daher „sicher“
** Google ist einer der Bug-Entdecker und hat daher das Problem bereits früher behoben. Password muss trotzdem gewechselt werden.
*** GMX pop:995/imap:993 über SSL war nicht betroffen. Hier getestet wird der Weblogin.
**** Flicker hat die Lücke zwar geschlossen, kämpft aktuell aber mit einer SQL-Injection

Angaben ohne Gewähr! Bitte kontaktiert uns, falls ihr noch weitere Seiten zum Checken wünscht!

Zur Erinnerung: Für jeden Dienst/Webseite immer ein anderes Passwort verwenden! Eine sehr schöne Anleitung («drei einfache Regeln») für gute Passwörter gibt es auf EthACK.org (französisch)

#HeartBleed: Was tun? Wer ist betroffen?

heartbleedOpenSSL ist eine freie Technologie, mit welcher Verbindungen im Internet verschlüsselt werden. Am Montagabend (07.04.2014) wurde der sogenannte «HeartBleed- Bug» öffentlich bekannt. Dabei handelt es sich um einen groben Fehler in OpenSSL Implementationen der Versionen 1.0.1 bis und mit 1.0.1f. Dieser Fehler ermöglicht es  Angreifern, alle eigentlich verschlüsselt-übertragenen Informationen auszulesen. Kryptographie-Experte Bruce Schneier nannte den Bug katastrophal, auf einer Skala von 1 bis 10 sei er auf der 11

Betroffen sind ca. 66% aller Internet-Webseiten inklusive Facebook, eBay, Onlinebanking, Mails, Dropbox doch was nun? Was gilt es zu tun?

Hier nun einige Tipps unsererseits:

Als Anwender:

  1. Updates installieren (auf eurem System – immer eine gute Idee)
  2. Die Webseite, welche ihr besuchen wollt zuerst testen:
  3. Das Zertifikat (Im Browser oben den grünen Schlüssel bei https) prüfen, ob das Ausstellungsdatum frühstens der 08.04.2014 ist! (Wink an Facebook g*)
  4. Falls obiges alles i.O. – Euer Passwort ändern (überall bitte ein unterschiedliches) und euch einloggen

Als Serverbetreiber (Windows/IIS ist nicht betroffen):

  1. Updates installieren (Kontrollieren ob mind. OpenSSL 1.0.1g)
    -> OpenSSL Version
  2. Falls nicht OpenSSL 1.0.1g oder höher installiert war, neue Zertifikate ausstellen (lassen) (Da der PK seit bestehen des Bugs = 2 Jahre, ohne Spuren bereits geklaut sein könnte)

Weitere Links:
– 20140408 Golem.de: SICHERHEITSLÜCKE: Keys auslesen mit OpenSSL
– 20140408 TheHackerNews.com: OpenSSL Zero-day Bug leaves Millions of websites Vulnerable
– 20140408 Netcraft: Half a million widely trusted websites vulnerable to Heartbleed bug
– 20140408 Netzpolitik.org: Heartbleed, ein OpenSSL Bug der Weitreichende Folgen haben kann
– 20140410 Netzpolitik.org: Drei Tage HeartBleed, was tun?