Der Heartbleed Bug: Welche Webseiten sind betroffen und wie kann man sich schützen?

By
Fabian Geissler
-
0
The Heartbleed Bug - Wie man sich dagegen schützen kann und welche Webseiten betroffen sind, Hack4Life - Immer aktuell, Fabian Geissler
The Heartbleed Bug - Wie man sich dagegen schützen kann und welche Webseiten betroffen sind, Hack4Life - Immer aktuell, Fabian Geissler

Der Heartbleed Bug ist zur Zeit in aller Munde. Wir sprechen von der wohl größten Sicherheitslücke, die es im Internet je gegeben hat (und veröffentlicht wurde). Betroffen sind fast alle Webseiten, die OpenSSL verwenden. Angreifern war es somit mehrere Jahre möglich Passwort, Kreditkarten Informationen und persönliche Daten abzufangen, auch wenn ihr über eine vermeintlich sicher SSL (Secure Socket Layer)- Verbindung gesurft seid. 

Bekannte Dienste wie Yahoo, Facebook, Dropbox, Tumblr, Google uvw. sind ebenfalls von dieser Sicherheitslücke betroffen (gewesen). Wenn ihr ein Benutzer dieser Webseiten seid, solltet ihr auf dem schnellsten Wege euer Passwort ändern, da bei vielen Seiten diese schwerwiegende Sicherheitslücke bereits gefixt wurde. Eine Liste, welche Dienste betroffen sind, findet ihr weiter unten im Beitrag.

OpenSSL

OpenSSL ist eine Open Source Software, d.h. der Source Code (Quellcode) ist für jeden öffentlich einsehbar. Bei Open source kann man auch einsehen, wer diesen Code geschrieben hat. In diesem Fall ist ein Deutscher daran beteiligt, der eine Reihe von Bugfixes und neuer Features für OpenSSL eingereicht hat, jedoch wird er in einem Patch für ein neues Feature eine Längenüberprüfung übersehen haben, berichtet SPIEGEL Online, die eine Stellungnahme via Email von ihm bekommen hat.
Fast zwei Drittel des Webs wie wir es kennen sind betroffen. Webseiten die eine gesicherte Verbindung anbieten (erkennbar am https://) können womöglich abgefangen worden sein.
Diesen Fehler können nur die Betreiber ändern. Um auf der komplett sicheren Seite zu sein, solltet ihr auf Zertifikate von https-Verbindungen achten, deren Ausstellungsdatum die nach der Entdeckung dieser Sicherheitslücke ausgestellt worden sind.

Wie sehen Experten diesen Bug?

Wenn man sich die Meinungen von Administratoren und Sicherheitsexperten ansieht, wird von der größten und schwersten Sicherheitslücke überhaupt ausgegangen.

Warum Heartbleed?

Einige von euch werden sich sicherlich fragen, wie man auf den Namen „Heartbleed“ gekommen ist.
In OpenSSL gibt es eine Funktion, die den Namen Hearbeat trägt. Diese soll dafür sorgen, dass eine sichere Verbindung über eine bestimmte Zeit aufrecht erhalten wird, damit diese nicht immer neu aufgebaut werden muss.
Der Fehler in dieser Funktion führt dazu, dass Angreifer Informationen vom Webserver abrufen können, die im Arbeitsspeicher liegen und somit nie für die Öffentlichkeit bestimmt waren. Deshalb haben die „Entdecker“ diesen Bug auf den Namen Heartbleed getauft.

Ist nur eine Person an diesem Fehler schuld?

Die Antwort ist ganz einfach nein.
Gerade Open-Source Software gilt als äußerst sicher, da der Code von jedem eingesehen und Fehler sofort erkannt werden können.
Auch muss der Code, der eingereicht wird, von jemanden entgegen genommen werden, bevor dieser dann wirklich in die Software integriert wird. Somit muss auch jemand aus dem OpenSSL-Team, der diesen Code überprüft hat, diesen Fehler nicht gesehen haben.

Wielange gibt es bereits Heartbleed?

Diese Sicherheitslücke existiert bereits seit über zwei Jahren, ohne dass jemand diesen Fehler im Code gefunden hat. Somit ist wieder einmal bewiesen, dass der Code nicht sicherer wird, wenn diese öffentlich einsehbar ist.
Fehler passieren nun einmal, ob mit Absicht oder nicht, das ist hier die Frage, die wohl unbeantwortet bleiben wird.

Gefunden haben diesen schwerwiegenden Bug Google-Forschen und eine Sicherheitsfirma. Man wird sich auf jeden Fall etwas überlegen müssen, wie man solche Lücken in der Sicherheitsarchitektur des Internets in Zukunft bereits im vornherein vermeiden kann.

Wie kann man sich schützen?

Die meisten Webseiten haben bereits patches eingebaut, somit liegt es nun nur noch in der Hand des Benutzers, sein Kennwort zu ändern. Mehr bedarf es nicht. Sollten Angreifer euer Passwort bereits herausgefunden haben, ist es diesen nicht mehr möglich sich bei euerm Account anzumelden.

Welche Seiten sind alle betroffen?

Mashable hat eine Liste der wichtigsten Online-Dienste zusammen gestellt.
In der Spalte „Do you need to change your password?“ findet ihr die Informationen die ihr benötigt. Wenn dort ein „Yes“ mit einem grünen Hacken steht, solltet ihr so schnell wie möglich euer Passwort auf dieser Seite ändern.
Hier gelangt ihr direkt zu der Liste: Liste aufrufen

[divider scroll_text=“Zum Anfang“]

Wie kann ich helfen?

Teilt diesen Beitrag mit euren Freunden in allen sozialen Netzwerken, versendet den Link via Email oder macht eure Freunde auf diese Sicherheitslücke aufmerksam. Je schnell es die Leute wissen, desto geringer kann der Schaden gehalten werden.

[quote align=“center“ color=“#999999″]Es ist sehr bedauernswert, dass in der heutigen Zeit noch solche Fehler passieren. Vor allem in einer Zeit, wo wirklich fast jeder schnell etwas in einem Online-Shop bestellt oder seine persönlichen Daten eingibt um sich auf einer Webseite oder in einem Sozialen Netzwerk anzumelden. [/quote]
Fabian Geissler, Hack4Life

 

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here