Rene's Blog

GEDÄCHTNISSTÜTZEN UND SONSTIGE ERKENNTNISSE

Heartbleed-Sicherheitslücke.

von Rene Sasse am 11. April 2014, keine Kommentare

Die als Heartbleed bekannte Sicherheitslücke hat es wirklich in sich. Jetzt heißt es handeln. Und zwar zügig!

Unerwartet wurde Anfang April 2014 bekannt, dass die Versionen 1.0.1 bis einschließlich 1.0.1f, als auch 1.0.2-beta bis einschließlich 1.0.2-beta1 vom sogenannten Heartbleed-Bug betroffen sind. Dieser Bug ermöglicht es einem Angreifer dabei bis zu 64 KByte des Hauptspeichers der Gegenstelle auslesen. Und da kann zufällig alles mögliche rumliegen: Kreditkartendaten, PHPCode, (alle)teile einer Usernamen/Passwort Kombination, Schlüpfergröße, etc.pp.

Und genau da liegt der Hase im Pfeffer: 64 KByte. hört sich nicht viel an, oder? Was sind denn 64 KByte in DIN-A? Das sind ungefähr 800 Zeilen á 80 Zeichen. Also etwas mehr als 26 DIN-A4 Seiten. Bei 26 Seiten DIN Seiten sind bestimmt passende Datensätze dazwischen. Und da man diesen Vorgang beliebig wiederholen konnte, bis bis vor wenigen Tagen wusste niemand etwas davon, sind da sehr viele Daten abgegriffen worden. Soviel ist mal sicher. Vielleicht haben wir damit auch die Herkunft von 18.000.000 Millionen E-Mail Adressen + Passworten geklärt.

Wichtig zu wissen: Es handelt sich um OpenSource. So etwas KANN  passieren… Es gibt keine absolut sichere Software. (okay, ein „Hello World“-Programm eventuell). Hier wurde schlicht nicht aufgepasst. Auch dass kann passieren. Wichtig ist, dass ihr jetzt _ALLE_ eure Systeme Patched. Besonders Firewalls, VPN Concentrator und Webseiten die SSL anbieten.

Jetzt heißt es handeln!

Wechselt die Passworte. Überall. Auch und gerade für eure Mailboxen, Kreditkarten und Banking Seiten. Leider könnt ihr jetzt vermutlich nicht mehr überall prüfen, ob dieser Bug auch eurem Anbieter betraf. Ich gehe davon aus, dass wohl am Montag 90% aller wichtigen Systeme gepatched sein werden. Prüft das vorher mit geeigneten Mitteln! Zum Beispiel mit http://filippo.io/Heartbleed/. Hierbei muss ich sagen, dass diese Tests wohl nicht immer aussagekräftig sind. Da probieren ja mehr als nur zwei, drei Leute aus… Prüft mit anderen Test, schaut auf die Webseiten; es gibt bestimmt an vielen Stellen ein passendes Statement des jeweiligen Anbieters.

Ich habe mir bereits eine neue Kreditkarte ausstellen lassen und wechselte meine Passworte. Am Wochenende soll es regnen. Ein guter Zeitpunkt sich mit Password-Safe oder 1Password zu beschäftigen :-)

update: 12.04.2014, 00:19:00 

Ich habe einen kleinen schnell-Test zur Überprüfung des SSL Ausstellungsdatum programmiert. Ihr könnt diesen Test auch mit eurem Browser machen, dann ist’s allerdings nicht so schön einfach ;-)

http://transfer.renesasse.de/heartbleed/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.