Bisher hat man uns mantramäßig beigebracht: Nutze verschlüsselte Verbindungen – also im Browser jene URLs, die mit https:// beginnen und natürlich SSL/TLS-Verbindungen zum Mailserver – und alles ist gut: Deine Verbindung ist verschlüsselt und niemand kann mitlesen.
Das gilt jetzt nicht mehr!
Aufgrund eines Programmierfehlers konnten nämlich die Bösen Buben vermutlich jahrelang die Passwörter von vermeintlich sicheren Verbindungen, die mittels der Software OpenSSL aufgebaut worden waren, auslesen. Das Fatale ist jedoch, dass der Endanwender völlig schuldlos und handlungsunfähig ist, denn er muss schlichtweg warten, bis die Server-Betreiber ihre fehlerhaften Komponenten austauschen.
Welche Dienste seit wann und in welchem Umfang betroffen sind, darüber scheiden sich die Geister; hier nur in Beispiel. Fest steht: Wer auf Nummer sicher gehen will, der muss alle Passwörter, die er im Internet nutzt ändern. Eine Sysiphusarbeit, unbestritten.
Die unzähligen im Netz kursierenden Meldungen möchte ich hier in einer – völlig subjektiven – Auswahl kategorisieren und auflisten:
Informationen
- The Heartbleed Bug – Die Webseite zum Bug (www.heartbleed.com – die Seite ist jedoch nicht mehr online): Einer der beiden „Entdecker“ des Bugs, die Firma Codenomicon, hat die wichtigsten Informationen in Form einer FAQ zusammengefasst (in englischer Sprache).
- Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise.de: Die Online-Redaktion des heise-Verlags berichtet gewohnt kompetent und kompakt über den Bug.
- Smartphones sind vom SSL-GAU (fast) nicht betroffen | heise.de: Betroffen sind nur Geräte, auf denen Android in den Versionen 4.0 bis 4.1.1 (jeweils einschließlich) läuft.
- xkcd: Heartbleed Explanation: Wie Heartbleed „funktioniert“, erklärt dieser Comic – nicht ganz ohne Ironie…
Test
- Heartbleed Test auf filippo.io: Prüft nach Eingabe eines URL oder Hostnamens (optional auch einer Portnummer), ob der antwortende Server vom Heartbleed-Bug betroffen ist.
- Heartbleed Test auf SSL-Tools.net: Prüft nach Eingabe einer Domain die Web- und Mailserver darauf, ob sie vom Heartbleed-Bug betroffen sind.
- LastPass Heartbleed checker: Der (inzwischen vom Netz genommene) Test des Anbieters von Sicherheits-Anwendungen konzentriert sich auf Webserver.
- Heartbleed Detector for Android: Er ermittelt, ob das eigene Android-Gerät vom Heartbleed-Bug betroffen bzw. ob die „anfällige“ Funktion überhaupt aktiviert ist.
Update vom 07.05.2014 und vom 17.04.2017
- AppCheck for Heartbleed vulnerability: Dieser (inzwischen wieder entfernte) kostenlose Test von Codenomicon ermöglichte es, hochgeladene Programme darauf überprüfen zu lassen, ob sie anfällige OpenSSL-Versionen enthalten, die als statische Bibliotheken einkompiliert wurden; unterstützt werden Binärdateien aller gängigen Desktop- und diverser Mobil-Betriebssysteme.
Ein Gedanke zu „Heartbleed – Der Verschlüsselungs-GAU im Internet [UPDATE]“