Heartbleed – Der Verschlüsselungs-GAU im Internet [UPDATE]

Bisher hat man uns mantramäßig beigebracht: Nutze verschlüsselte Verbindungen – also im Browser jene URLs, die mit https:// beginnen und natürlich SSL/TLS-Verbindungen zum Mailserver – und alles ist gut: Deine Verbindung ist verschlüsselt und niemand kann mitlesen.

Das gilt jetzt nicht mehr!

Aufgrund eines Programmierfehlers konnten nämlich die Bösen Buben vermutlich jahrelang die Passwörter von vermeintlich sicheren Verbindungen, die mittels der Software OpenSSL aufgebaut worden waren, auslesen. Das Fatale ist jedoch, dass der Endanwender völlig schuldlos und handlungsunfähig ist, denn er muss schlichtweg warten, bis die Server-Betreiber ihre fehlerhaften Komponenten austauschen.

Welche Dienste seit wann und in welchem Umfang betroffen sind, darüber scheiden sich die Geister; hier nur in Beispiel. Fest steht: Wer auf Nummer sicher gehen will, der muss alle Passwörter, die er im Internet nutzt ändern. Eine Sysiphusarbeit, unbestritten.

Die unzähligen im Netz kursierenden Meldungen möchte ich hier in einer – völlig subjektiven – Auswahl kategorisieren und auflisten:

Informationen

Test

  • Heartbleed Test auf filippo.io: Prüft nach Eingabe eines URL oder Hostnamens (optional auch einer Portnummer), ob der antwortende Server vom Heartbleed-Bug betroffen ist.
  • Heartbleed Test auf SSL-Tools.net: Prüft nach Eingabe einer Domain die Web- und Mailserver darauf, ob sie vom Heartbleed-Bug betroffen sind.
  • LastPass Heartbleed checker: Der (inzwischen vom Netz genommene) Test des Anbieters von Sicherheits-Anwendungen konzentriert sich auf Webserver.
  • Heartbleed Detector for Android: Er ermittelt, ob das eigene Android-Gerät vom Heartbleed-Bug betroffen bzw. ob die „anfällige“ Funktion überhaupt aktiviert ist.

Update vom 07.05.2014 und vom 17.04.2017

  • AppCheck for Heartbleed vulnerability: Dieser (inzwischen wieder entfernte) kostenlose Test von Codenomicon ermöglichte es, hochgeladene Programme darauf überprüfen zu lassen, ob sie anfällige OpenSSL-Versionen enthalten, die als statische Bibliotheken einkompiliert wurden; unterstützt werden Binärdateien aller gängigen Desktop- und diverser Mobil-Betriebssysteme.

Ein Gedanke zu „Heartbleed – Der Verschlüsselungs-GAU im Internet [UPDATE]“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

achtzehn − zwei =