Inhaltsverzeichnis
Heartbleed ist ein sehr schwerer Fehler in der Internet-Infrastruktur. Denn er berührt die Sicherheit des Internets in seinem Kern.
Dieses Thema ist so wichtig, dass ich Dich darauf aufmerksam machen möchte, auch wenn dieser Artikel etwas von der generellen Ausrichtung dieses Blogs abweicht.
Zur Technik werde ich nur im Überblick etwas sagen und mich nicht zu allen Details äußern. Denn es gibt wegen der Schwere des Fehlers bereits eine Menge gute Quellen dazu, so dass ich nicht alles zu wiederholen brauche.
An dieser Stelle beschränke ich mich darauf, einen Überblick zu geben über die Ursache und die Auswirkungen und was Du tun kannst, um zu überprüfen, in welcher Form Du bzw. die von Dir genutzten Dienste betroffen sind oder nicht.
Alles Weitere findest Du in den verlinkten Informationsquellen, die sich detaillierter damit beschäftigen und wo Du konkrete Anleitungen findest, wie Du die von Dir genutzten Dienste auf ihre Sicherheit hin überprüfen kannst. Oder wie Du als Betreiber von Servern und Diensten für Abhilfe sorgen kannst.
Was ist Heartbleed?
Heartbleed ist eine Bezeichnung für einen schweren Programmierfehler in der SSL-Implementierung OpenSSL.
SSL ist ein Protokoll zur Verschlüsselung der Daten, die Du bzw. Dein Computer mit einem anderen Computer austauscht. Ziel ist es zu verhindern, dass ein Anderer als Du selbst und Dein Kommunikationspartner Euren Datenaustausch mitverfolgen und ihm wichtige Informationen wie User-IDs oder Passwörter entnehmen kann.
OpenSSL ist eine der am weitesten verbreiteten SSL-Implementierungen. Aufgrund der weiten Verbreitung ist Heartbleed besonders kritisch für die Sicherheit im Internet.
Der Programmierfehler Heartbleed ermöglicht Angreifern auf einfache und nicht nachweisbare Weise, den Datenverkehr zwischen Dir und einem mit OpenSSL verschlüsselten Internet-Dienst zu hacken und sicherheitsrelevante Daten wie z.B. Deine Passwörter zu stehlen.
Deshalb ist es extrem wichtig:
- In den nächsten Tagen keinen Dienst zu nutzen, der nicht absolut wichtig ist für Dich.
- Dich zu vergewissern, dass der Anbieter eines Dienstes (Web-Server, E-Mail, VPN etc.) „sauber“ ist (später mehr dazu, wie das geht).
- Akzeptierte Zertifikate zu verwerfen und zu erneuern.
- Für alle Dienste die Passwörter zu ändern, sobald nachgewiesen wurde, dass sie sicher sind. Entweder weil sie von dem Sicherheitsproblem nicht betroffen waren oder weil sie schnell reagiert und rasch einen Patch installiert haben.
- Dabei solltest Du keinesfalls dasselbe Passwort für verschiedene Dienste nutzen, sondern jeweils unterschiedlich Passwörter verwenden. Sollte eines der Passwörter geklaut werden, ist damit nicht gleich Deine gesamte digitale Identität zum Teufel.
Prüfung eines Dienstes auf Sicherheit
Prüfe jeden Dienst, den Du verwendest, ob er angreifbar oder sicher ist.
Dazu kannst Du Dich telefonisch oder per Mail mit dem Anbieter in Verbindung setzen und Dir bestätigen lassen, dass der Anbieter seine SSL-Implementierung überprüft und/oder gepatcht hat.
Außerdem gibt es technische Hilfsmittel, mit denen Du das selbst nachprüfen kannst:
- Gib auf den folgenden Seiten die URL einer Webseite ein und Du erhältst die Information, ob der Server sicher ist:
Wenn ein Anbieter Perfect Forward Secrecy (PFS) einsetzt, besteht keine Anfälligkeit für Heartbleed!
Welche Passwörter muss ich ändern?
Ganz wichtig: Ändere Passwörter erst, nachdem Du Dich vergewissert hast, dass der Anbieter des von Dir genutzten Dienstes die Sicherheit seiner Server (SSL-Verschlüsselung) überprüft und ggfs. gepatcht hat!
Informationen über betroffene Webseiten findest Du hier:
Was haben Geheimdienste damit zu tun?
Damit auch die Freunde von Verschwörungstheorien nicht zu kurz kommen, erwähne ich nur beiläufig, dass der Bug völlig unnötig ist, weil man in einem technischen Heartbeet-Verfahren keine Nutzdaten übertragen muss.
Das geschah dann dennoch ohne erkennbare Not. Außer dass die Änderung im Dezember 2011 erfolgte und damit kurz nach den Anschlägen in New York. Ein Schelm, wer Böses dabei denkt.
Diese Informationen habe ich dem Kurzartikel http://blog.fefe.de/?ts=adba343f entnommen. Der Blog ist nicht sonderlich ausgefeilt, doch kann diese Kurzinformation schon mal zum weiteren Nachforschen anregen, warum ein späterer Mitarbeiter von T-Sytems (Auftragnehmer des BND) und ein in der Nähe des britischen GCHA ansässiger Experte gemeinsam einen derart kapitalen Fehler einbauen.
Viel Spaß beim Recherchieren in den Tiefen des Internet. 
Weiterführende Informationen
Es gibt bereits viele Artikel, die sich mit Heartbleed und der zugrunde liegenden SSL-Implementierung OpenSSL beschäftigen.
Hier eine Auflistung der wichtigsten Artikel. Ich habe sie von der Reihenfolge her so angeordnet, dass die Artikel, die Dir konkrete Handlungsempfehlungen aufzeigen, weiter vorne stehen. Artikel mit Grundlageninformationen für an Details Interessierte habe ich weiter hinten angeordnet.
Quellen:
- Einführung in das Problem
- Sicherheitsüberprüfung von Diensten:
- Welche Passwörter muss ich ändern?
- Zertifikate tauschen
- Presseartikel
- https://netzpolitik.org/2014/heartbleed-ein-openssl-bug-der-weitreichende-folgen-haben-koennte/
- http://www.sueddeutsche.de/digital/heartbleed-bug-in-ssl-verschluesselung-sicherheitsluecke-im-herzen-des-internets-1.1932926
- http://www.theverge.com/2014/4/8/5594266/how-heartbleed-broke-the-internet
- https://blog.torproject.org/blog/openssl-bug-cve-2014-0160
- „Offizielle“ Seite für den Heartbleed-Bug
- Sehr viele Server sind betroffen
Wie sicher sind meine eigenen Server?
Ich hoste meine Domains (www.nlpete.de, blog.nlpete.de, www.softfine.de etc.) bei Strato auf einem sog. Managed Server.
Diese sind laut Strato „wegen spezieller Konfigurationen nicht für diese Sicherheitslücke anfällig„.
Feine Sache. Dann habe ich im Nachhinein bei der Auswahl meines Providers ja alles richtig gemacht, auch wenn ich vielleicht noch etwas detaillierter an diesen „speziellen Konfigurationen“ interessiert wäre. 😉