HeartBleed: Sicherheit überprüfen, Kennwörter ändern

Publiziert am 10. April 2014 von Günter Born

SicherheitGestern hatte ich hier über die fette Sicherheitslücke in OpenSSL berichtet, die jegliche Verschlüsselung auf den betreffenden Maschinen angreifbar macht. Für uns als Anwender hat dies die Konsequenz, dass möglicherweise unsere Passwörter bei betroffenen Dienstleistern ausgespäht wurden konnten. Zudem bleibt die Frage, ob unsere Android-Geräte betroffen sind. Hier einige Informationen, was ihr tun solltet.

Anzeige


Informationen rund um die OpenSSL-Sicherheitslücke finden sich auf dieser HeartBleed-Webseite.

Ist mein Server von Heartbleed betroffen

Die meisten meiner Blog-Leser werden keine Server mit SSL-Verschlüsselung betreiben. Wer aber einen Test fahren möchte, kann die Site hier überprüfen. Bei heise.de gibt es diesen Artikel, der zeigt, wie man prüfen kann. Eine Site lässt sich auch mit dieser Webseite auf HeartBleed prüfen – und das sogar rückwirkend. Ich habe mal die Bankingseite meiner Sparkasse durchgejagt – "possible vulnerable" – nicht sehr erheiternd, da dann Online-Banking-PINs abgefragt werden können. TANs werden ja dynamisch generiert. Sieht so aus, als ob momentan kein Stein mehr auf dem anderen bleibt – und da wollen die uns das "Internet of things" verkaufen.

Sind von mir benutzte Dienste betroffen

Wer keinen eigenen Server betreibt, greift aber auf E-Mail- und andere Dienste zu. Ob dieser Dienstleister von der Heartbleed-Lücke betroffen war oder noch ist, kann darüber entscheiden, ob die Passwörter noch sicher sind oder nicht. Die Site Mashable.com hat hier einen Artikel veröffentlicht, der betroffene Sites und Anbieter nennt. Dort gibt es auch Infos, ob man reagieren muss. Hier gibt es die gesamte Liste der 10.000 Top-Sites im Alexa-Site-Ranking. Auch heise.de hat diesen und diesen Artikel zum Thema veröffentlicht. Und laut dieser heise.de-Meldung raten sowohl Yahoo.com als auch Web.de zum Wechsel des Kennworts.

Ist mein Android sicher?

Auch in Android könnte die fehlerhafte OpenSSL-Bibliothek verwendet worden sein. Ich hatte hier zwar geschrieben, dass es wohl nur Android 4.1.1 betrifft. Aber sicher ist sicher. Lookout hat eine App entwickelt, die das auf einem Android-Geräte testet.

HeartBleed

Einfach die App Heartbleed Detector kostenlos aus dem Google Play Store herunterladen und installieren. Dann bekommt ihr recht schnell beim Ausführen der App gesagt, ob die fehlerhafte OpenSSL-Bibliothek vorhanden und aktiv ist. Hier das Resultat für mein Nexus 4 mit Android 4.4.2 (KitKat).

HeartBleed01

Nicht wirklich schön, aber zumindest ist die Bibliothek nicht in Benutzung. Beim Samsung Galaxy S4 ergibt sich das gleiche Bild.

Ähnliche Artikel:
a1: Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke
a2: Adobe- und WordPress-Sicherheits-Updates, Win XP absichern, OpenSSL-Lücke

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu HeartBleed: Sicherheit überprüfen, Kennwörter ändern

  1. Günter Born sagt:
    10. April 2014 um 18:26 Uhr

    Heartbleet-Spuren bereits im November

    Bei golem.de gibt es diesen Artikel, der berichtet, dass es im November 2013 bereits Hinweise darauf gibt, dass die OpenSSL-HeardBleed-Lücke per Exploit ausgenutzt wurde – und hinter dem Ganzen Geheimdienste wie NSA vermutet werden.

    Update: Die Nachrichtenagentur Bloomberg berichtet hier, dass die NSA den Heardbleed-Bug seit 2 Jahren aktiv ausgenutzt habe. Und ich frage mich, woher die in letzter Zeit so massenhaft auftauchenden, gestohlenen E-Mail-Adressen samt Kennwörtern wohl stammen.

    SSL-Sicherheit im Google Chrome prüfen

    Wer den Google Chrome Browser verwendet, kann die Web App Chromebleed verwenden. Diese zeigt an, wenn die Verbindung zu einem Server unsicher ist. Allerdings habe ich persönlich Bauchschmerzen, eine fremde App im Browser zu haben, die alles mitschneiden kann. Zudem hat die aktuelle Chrome-Version einen Bug, mit dem meine Audioeingabegeräte unbemerkt abgehört werden können.

    Weitgehende Entwarnung für iOS/Android

    Ich hatte es ja in den anderen Artikeln zu Heartbleed bereits geschrieben, das nur Android 4.1.1 betroffen sei. Bei heise.de findet sich dieser Artikel, der das wohl bestätigt und auch auf das oben verlinkte Android-Tool verweist.

    Generell scheint auf Client-Seite einiges an Entwarnung zu laufen. Hier verweise ich auf diesen heise.de-Artikel.

    Und wer hat's erfunden? Wir

    Ein junger deutscher Entwickler hatte wohl das Pech, den fatalen Programmierfehler in OpenSSL einzubauen. Die Details finden sich auf Spiegel Online in diesem Artikel.

    Wie sieht's bei Android aus?

    Im Artikel hatte ich den Heartbleed-Detector von Lookout erwähnt, mit dem man unter Android testen kann, ob man von der Lücke betroffen ist. René Hesse von Mobiflip hat einen Bericht mit ersten Statistikdaten von Lookout veröffentlicht.

    Ausgewertet wurden OpenSSL-Informationen von über 2400 Nutzern. Dabei sind 4,98% der Android-Nutzer sowohl von der OpenSSL-Lücke als auch von der fehlerhaften Funktion „Heartbeat" betroffen. Auf 82,57% aller mit Android 4.1.1 betriebenen Smartphones und Tablets besteht das Sicherheitsrisiko durch Heartbleed. Bei Android-Geräten mit der Version 4.2.2 sind es hingegen „nur" 15,02%. Neuere Android-Versionen scheinen bisher nicht von Heartleed betroffen zu sein. Im internationalen Vergleich übernimmt Deutschland die unrühmliche Führungsposition mit 12,46% an sicherheitsgefährdeten Smartphones und Tablets. Dahinter positionieren sich die USA mit 2,6% sowie das Vereinigtes Königreich mit 1,5%. Einen Grund zur Panik gibt es aber vorerst nicht. Die OEMs und Netzbetreiber sind jetzt gefragt, die wenigen betroffenen Systeme schnellstmöglich mit Updates zu versorgen. Problematisch ist jedoch, dass Android nicht nur auf Smartphones und Tabets verbreitet ist – in Systemen, die auf das Android Betriebssystem setzen, kann Heartbleed zu einem Problem werden. Bisher sind nur wenige Informationen vorhanden, wie gefährdet Infotainmentsysteme in Fahrzeugen, Smart-TVs oder Set-Top-Box sind. Nicht zu vernachlässigen sind erste Funde von Codes bzw. „Proof of Concepts", die für Angriffe auf mobile Geräte mit der Heartbleed-Schwachstelle ausgelegt sind. (Quelle: Mobiflip.de)

    Ganz so optimistisch bzw. der OEMs und Netzbetreiber bin ich aber nicht – es gibt genügend Vertreter, wo die Devise "über den Tresen – auch den Augen" vorherrscht. Gut ist, dass nur wenige Geräte betroffen sind.

    Eine gute Übersicht, welche Android-Versionen von der fehlerhaften OpenSSL-Bibliothek betroffen sind, findet sich von Andrew Blaich bei Bluebox.

    c't Bankix 12.04.4 betroffen

    Die Meldung fällt in die Kategorie "Mit Linux wär das nicht passiert – versus dumm gelaufen" – hier meldet die c't, dass die für Banking-Anwendung bereitgestellte Live Linux-CD Bankix 12.04.4 vom Heartbleed-Bug betroffen ist. Ist aber nicht so gravierend und es gibt bereits eine neue Version.

    Antworten
  2. Günter Born sagt:
    13. April 2014 um 20:52 Uhr

    Heartbleed-Lücke: das Tschernobyl der IT-Industrie

    Auf diesen Nenner lässt sich zwischenzeitlich das Ganze bringen. Laut diesem Artikel sind durch die Heartbleed-Lücke private Krypto-Schlüssel durch Dritte abrufbar. Das bedeutet, dass im Prinzip alle Zertifikate betroffener Server bzw. Anbieter auszutauschen sind. Da dies aber, durch die Vielzahl der betroffenen Zertifikate faktisch nicht binnen Stunden zu leisten ist – und niemand genau weiß, ob die Zertifikatsaussteller nicht auch kompromittiert sind, dass ab sofort faktisch keine Kommunikation mehr als "verschlüsselbar" zu bezeichnen ist.

    Und noch etwas: Nach diesem Artikel sammelt die NSA Daten, die sie aktuell nicht entschlüsseln kann, um diese nach Jahren, sobald entsprechende Techniken vorliegen, nachträglich zu entschlüsseln.

    Ähnliche Artikel zu Heartbleed
    1: http://www.borncity.com/blog/2014/04/09/adobe-und-wordpress-sicherheits-updates-win-xp-absichern-openssl-lcke/
    2: http://www.borncity.com/blog/2014/04/08/katastrophe-openssl-mit-heartbleed-sicherheitslcke/
    3: http://www.borncity.com/blog/2014/04/11/nsa-nutzt-heardbleed-sicherheitslcke-seit-jahren/

    Antworten
  3. Günter Born sagt:
    22. April 2014 um 15:52 Uhr

    Nachtrag: Noch eine unschöne Info, die ich euch nicht vorenthalten möchte. Sind Server-Zertifikate durch Heartbleed kompromittiert, können Server-Administratoren diese zwar zurückziehen. Aber die Browser bekommen das mitunter nicht mit, weil die betreffende Prüfung nicht ausgeführt wird. Einige Inside-Betrachtungen finden sich hier bei heise.de.

    Antworten

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.