Heartbleed – Übersicht
OpenSSL Heartbleed-Bug: Sicherheitslücke mit weitreichenden Folgen
Wikipedia - Heartbleed
Heartbleed – und nun?
Um was geht es letztendlich für den einzelnen sicherheitsbewussten Benutzer?
Muss ich meine Passwörter ändern oder nicht?
Antwort: Ein klares „Jein“
Wenn Sie auf der sicheren Seite sein wollen, sollten Sie alle Passwörter ändern, dies ist wahrscheinlich weniger Zeitaufwendig, als unten beschriebenes durchzuführen.
Leider gibt es im Moment (Stand 15.04.2014) KEINEN Test-Webservice, der letztendlich komplett richtige Aussagen trifft.
Die meisten Services testen auf den Heartbleed-Bug und als Ergebnis kommt dann (hoffentlich) heraus, dass die entsprechende Site nicht mehr verwundbar für den Heartbleed-Bug ist, aber es wird nicht gesagt, ob dies der Fall war.
Daher als Faustformel: Erst wenn eine Site / Service „Sicher“ ist, d.h. unten aufgeführte Links „Grün“ und nicht „Rot“ als Ergebnis ausgeben, sollte man die einzelnen Sites einem Check des Zertifikates unterziehen.
Klicken Sie dazu auf das Schloss im Webbrowser und lassen Sie die Zertifikats-Informationen anzeigen, ein nach dem 07. April 2014 ausgestelltes Zertifikat lässt darauf schließen, dass die Site / Service betroffen war und dann sollten Sie Ihr Passwort ändern!
Falls die Ampel grün zeigt und das Zertifikat vor dem 07. April 2014 herausgegeben wurde, liegt immer noch eine potenzielle Unsicherheit vor. Unternehmen Sie im Moment nichts. Denn: Entweder hat die Lücke nie bestanden, oder dann müssen Sie abwarten, bis der Betreiber ein neues Zertifikat installiert hat.
Wenn Sie ganz sichergehen wollen, sollten Sie in diesem Fall auf besonders sensible Internet-Transaktionen verzichten und / oder sich direkt beim Webseiten-Betreiber bezüglich Heartbleed erkundigen.
Was bedeutet dies Konkret - ein Beispiel:
Eine Abfrage für die Site https://services.comitat.com liefert ein „Was vulnerable: Possibly“ - „War möglicherweise verwundbar“
Eine Abfrage des Zertifikates ergibt, das dieses am 15.03.2014 erstellt bzw. zuletzt geändert wurde.
Aber: Dieses Zertifikat respektive der entsprechende Webserver war nicht betroffen, da bei diesem Betreiber eine andere OpenSSL-Version verwendet wird. Soviel zu False-Positive!
Heartbleed Test-Tools:
Qualys SSL Labs - Webserver, aber auch Browsertest!
LastPass Heartbleed Checket - Stand 15.04.2014 noch relativ ungenau - siehe oben beschriebenes Beispiel
GlobalSign SSL Konfiguration Checker
Heartbleed Test
SSL Test - Check your web server configuration
Sites, welche die „Großen“ Anbieter aufgelistet haben – bei betroffenen Sites / Services sollten die Passwörter sofort geändert werden:
The Heartbleed Hit List: The passwords you need to change right now
OpenSSL-Lücke Heartbleed: Auf welchen Webseiten sollte man das Passwort ändern?
Update 17.04.2014: Der Artikel besagt, dass eBay nicht anfällig war, der Test mit LastPass besagt, das Zertifikate am 14.04.2014 ausgetauscht wurden, daher sollte hier doch das Passwort geändert werden.
Bei Webseiten mit Zwei-Faktor-Authentifizierung (Login am Browser / Passwort mit SMS) wie zum Beispiel bei den meisten eBanking-Lösungen, ist die Gefahr einer Kontoübernahme via Heartbleed nicht gegeben.
Voraussetzung ist jedoch, dass man sich ordentlich abmeldet, also den Logout-Button drückt und somit die Session beendet.
Update 18.04.2014: Nach Untersuchung von verschiedenen Online-Banking-Portalen kann ich nur dringend von der Verwendung des Internet Explorers für Online-Banking abraten. Verwenden Sie für Bankgeschäfte immer einen aktuellen Browser (Firefox, Safari etc.). Dies hat selbst nichts mit dem Heartbleed-Bug zu tun. Ist aber eine Erkenntnis aus einer weitergehenden Untersuchung.
Und dann noch was!
Wer bisher keinen Passwort-Manager gehabt hat, sollte wirklich allerspätestens jetzt darüber nachdenken!
KeePass oder LastPass als Beispiele – je nachdem, ob man eine lokale oder eine Cloud-Lösung präferiert.
Siehe hierzu: Heartbleed-Risiko: Warum wir alle einen Passwort-Manager brauchen.
Allgemeine Informationen / Aktuelle Meldungen:
http://www.kuketz-blog.de - Generelle technische Aufklärung über SSL / TLS
heise.de - Thema: Heartbleed
Heartbleed betrifft auch Router und VPN-Lösungen
Blackberry arbeitet an Heartbleed-Bugfixes
Update 25.04.2014 - Blackberry sichert Produkte gegen Heartbleed-Lücke
Gegenmaßnahmen zur Heartbleed-Sicherheitslücke für Admins
Heartbleed: Datendiebstahl beim kanadischen Finanzamt
Heartbleed-Fehler: Sicherheitsexperten beantworten wichtige Nutzer-Fragen zur OpenSSL-Sicherheitslücke
Half a million wiedely trusted websites vulnerables to Heartbleed bug