Firmenlink

 

Heartbleed SSL-Lücke: So muss ich reagieren

Die bekannt gewordene Lücke Heartbleed in OpenSSL ist gravierend. PCtipp trägt Fakten zusammen und sagt, wie man richtig reagiert.

von Marcel Hauri 10.04.2014 (Letztes Update: 10.04.2014)

Es blutet das Herz! Die Backdoor in OpenSSL ab Version 1.0.1 bis 1.0.1f ist ein wuchtiger Schlag in die Magengrube aller Open-Source-Anhänger. Zwei Jahre blieb die Schwachstelle unentdeckt, immerhin wurde innerhalb Stunden ein Patch veröffentlicht. Die jetzt geschürte Panik hat jedoch nur teilweise Berechtigung, obwohl die Sache ziemlich ernst ist und das Vertrauen in die sichere Internetinfrastruktur weiter gelitten hat.

PCtipp listet im Folgenden die wichtigsten Fakten auf:

Wie kann ich mich schützen?

  1. Überprüfen Sie Ihren Webseitenbetreiber, indem Sie auf http://filippo.io/Heartbleed/ die URL der Webseite eingeben. Kommt dort eine Warnmeldung, ist Vorsicht geboten. Leuchtet die Ampel grün, können Sie zumindest davon ausgehen, dass die Lücke geschlossen ist oder gar nie eine Gefahr bestand. Wegen dem grossen Andrang ist die Webseite teilweise überlastet. Es kann daher zu Fehlermeldungen kommen. Alternativ bietet auch die Seite https://sslcheck.ch/ einen Test an.

  2. SSL-Verschlüsselung erkennen Sie am Schloss in der Adressleiste des Browsers. Klicken Sie auf das Symbol und kontrollieren Sie, ob das Zertifikat nach dem 7. April 2014 herausgegeben wurde.

    Überprüfen Sie das Zertifikat: Ist das Ausgabedatum vor dem 7. April 2014, dann bringt ein Passwortwechsel nichts Überprüfen Sie das Zertifikat: Ist das Ausgabedatum vor dem 7. April 2014, dann bringt ein Passwortwechsel nichts Zoom

  3. Falls die Ampel grün zeigt, aber das Zertifikat nach dem 7. April 2014 herausgegeben wurde, dann ändern Sie sicherheitshalber Ihr Passwort.

  4. Falls die Ampel grün zeigt und das Zertifikat vor dem 7. April herausgegeben wurde, liegt eine potenzielle Unsicherheit vor. Unternehmen Sie vorest nichts. Denn: Entweder hat die Lücke nie bestanden, oder dann müssen Sie abwarten, bis der Betreiber ein neues Zertifikat installiert hat. Wenn Sie ganz sichergehen wollen, sollten Sie in diesem Fall auf besonders sensible Internettransaktionen verzichten und sich direkt beim Webseitenbetreiber bezüglich Heartbleed erkundigen.

  5. Bei Webseiten mit Zwei-Faktor-Authentifizierung (Login am Browser/Passwort via SMS) wie zum Beispiel bei den meisten E-Banking-Lösungen, ist die Gefahr einer Kontoübernahme via Heartbleed nicht gegeben. Voraussetzung ist jedoch, dass man sich ordentlich abmeldet, also den Logout-Button drückt und somit die Session beendet.

  6. Wir empfehlen generell, Passwörter regelmässig zu ändern und nie dasselbe Passwort für sämtliche Internetdienste zu verwenden.

 Auch die Melde- und Analysestelle des Bundes (Melani) hat eine Warnung und weitere Informationen zu Heartbleed auf ihrer Webseite aufgeschaltet.

Was genau ist betroffen?

Die fehlerhafte Software ist die OpenSLL-Bibliothek 1.0.1 bis 1.0.1f und OpenSSL 1.0.2 bis Beta1, die auf Linux-Servern und zum Teil auch in Software auf Clients eingesetzt wird. Es ist ein Implementierungs-Bug, kein Loch im Protokoll. Hauptsächlich betroffen sind Linux-Server, die ihre Verschlüsselungen auf diesen SSL-Versionen einsetzen. Man kann davon ausgehen, dass ein grosser Teil der in den letzten 2 Jahren aufgesetzten Linux-Server betroffen ist. Wie hoch die Quote tatsächlich ist, weiss niemand genau. Quellen sprechen von 17 % der Verschlüsselungen.

Die Lücke wurde am 8. April 2014 entdeckt und veröffentlicht. Somit war ein grosser Teil des gesicherten Datenverkehrs zumindest für ein paar Stunden für jeden fähigen Angreifer potenziell betroffen.

Betroffen sind Webseiten, Apps und Software, die mit Servern kommunizieren und diese Verschlüsselungstechniken verwenden. Dabei dürfen insbesondere Server nicht vergessen werden, die beispielsweise für Smartphone-Apps, Chat-Dienste (z. B. Jabber), Cloud-Speicher, Streaming-Dienste (z. B. Plex), Mail-Dienste (z. B. SMTP, POP, IMAP over SSL), OpenVPN-Zugänge verwendet werden, sofern diese OpenSSL-Bibliotheken nutzen. Ebenso müssen Netzwerkgeräte wie Router und Switches berücksichtigt werden, die entsprechende WebGUIs anbieten. OpenSSL 1.0.1g ist die erste Version, in der die Lücke beseitigt wurde.

Was kann ein Angreifer tun?

Ein Angreifer, der die Schwachstelle ausnutzt, kann unerkannt Daten wie Passwörter, Logins, Cookies etc. in 64 KB grossen Datenstücken (mit dem Ping zwischen Client & Server) aus dem Server oder Client kopieren. Mit massiven Angriffen können so in relativ kurzer Zeit ganze Arbeitsspeicher mit sensiblen Informationen, darunter auch das private Verschlüsselungszertifikat, leergeräumt werden. Fällt das private Verschlüsselungszertifikat in die Hände eine Angreifers, kann die Datenverbindung zwischen Client und Server mitgelesen werden.


    Kommentare

    • uwk 11.04.2014, 10.04 Uhr

      Hallo Gurus, schnalle es überhaupt nicht diesen Heartbleed test machen zu können! Bin ich der einzige Idiot?

    • Luca Diggelmann 11.04.2014, 11.40 Uhr

      Hallo uwk Die Seite ist teilweise etwas überlastet. Daher kann es zu Fehlermeldungen kommen. Alternativ gibt es einen Test auch auf dieser Seite: https://sslcheck.ch/ Grüsse, Luca

    • ebas 11.04.2014, 12.02 Uhr

      Mittlerweile haben alle Partner von «eBanking – aber sicher!» ihre Systeme aktualisiert oder waren nicht verwundbar. Gegenwärtig werden die Server-Zertifikate ausgetauscht. Dieser Prozess sollte in den nächsten ein bis drei Tagen abgeschlossen sein. Wir empfehlen für Ihre Sicherheit: - Alle für Online-Anmeldungen verwendeten Passwörter auswechseln (Bitte beachten Sie dabei auch unsere 6 Regeln für ein sicheres Passwort: www.ebankingabersicher.ch/securepassword). - Vor Verwendung gesicherte[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.