ecommerce-blog.at
Juni (
4
)
Juli (
2
)
August (
3
)
März (
1
)
April (
1
)
Mai (
1
)
Juli (
2
)
August (
2
)
März (
2
)
April (
3
)
Mai (
2
)
Juni (
3
)
Juli (
3
)
August (
2
)
März (
3
)
April (
4
)
Mai (
3
)
Juni (
3
)
Juli (
3
)
August (
3
)
März (
3
)
April (
3
)
Mai (
3
)
Juni (
3
)
Juli (
3
)
August (
3
)
März (
4
)
April (
3
)
Mai (
4
)
Juni (
3
)
Juli (
3
)
August (
2
)
März (
3
)
April (
4
)
Mai (
4
)
Juni (
2
)
Juli (
4
)
August (
3
)
März (
5
)
April (
4
)
Mai (
4
)
Juni (
4
)
Juli (
4
)
August (
4
)

11.04.2014 - Gravierende SSL-Sicherheitslücke - Heartbleed-Bug

Ändern Sie Ihre Passwörter, wechseln Sie Ihre SSL-Zertifikate aus – das empfiehlt der österreichische IT-Sicherheitsexperte HackAlarm24.

Es mag zunächst wie ein verspäteter Aprilscherz klingen, es ist allerdings leider vollster Ernst!
Die Sicherheitslücke, welche inzwischen als Heartbleed-Bug bekannt ist, befindet sich innerhalb der TLS-Software OpenSSL, genau genommen in der Heartbeat-Extension von OpenSSL.

Durch einen Programmfehler in der Erweiterung werden bis zu 64KB mehr Arbeitsspeicher ausgelesen als notwendig, wodurch von betroffenen Servern undefinierte Speicherinhalte von jedem Teilnehmer des Internets ausgelesen werden konnten. Selbst hochsensible Daten wie etwa Private-Keys für SSL-Verschlüsselungen, Passwörter oder sogar Kreditkartendaten, sofern sich diese Daten zufällig gerade innerhalb dieses 64kB-Speicherblockes befanden.

HackAlarm24 kritisiert, dass die Heartbeat-Extension auf einem Webserver eigentlich nichts verloren hätte. Gerade Billiganbieter von Webspace haben in aller Regel nicht die notwendigen Resourcen, um Komponenten selbst zu kompilieren, sondern installieren die vollen Pakete. Nur bei sehr wenigen Hostinganbietern wirkte sich die Sicherheitslücke aufgrund zuvor getroffener Sicherheitsmaßnahmen nicht aus.

Der Sicherheitsexperte empfiehlt auf betroffenen Maschinen sämtliche Passwörter zu ändern und SSL-Zertifikate neu auszustellen. Zu beachten gilt auch, dass in vielen Fällen SSL-Schlüssel auf anderen Maschinen erzeugt werden – auch diese könnte unsicher gewesen sein.

zurück zur Übersicht


Kommentare

16 Kommentar(e) gefunden:


Wolfgang
09.04.2014 11:35
Also das ist ja fast nicht zu glauben.

Hannes
09.04.2014 16:25
Da kauft man sich ein teures SSL-Zertifikat und wiegt sich in Sicherheit und dann ist eigentlich alles noch unsicherer als ohne Zertifikat.

Jürgen
10.04.2014 11:57
Ich habe mein SSL-Certificate nur weil das gesetzlich vorgeschrieben ist bei Kreditkarten. Man kann also sagen, ich bin gesetzlich dazu gezwungen worden, dass mein Shop unsicher ist. Das ist ja der Hammer!

Paul
10.04.2014 15:30
Vor allem wäre es total unnötig gewesen, wenn das die Provider sicher installiert hätten. Das stimmt mich schon leicht ärgerlich.

Markus
11.04.2014 09:14
Wahnsinn! Ich dachte auch, dass das noch ein Aprilscherz wäre. Gottseidank hab ich noch auf das Datum des Artikels geschaut.

Gerhard
11.04.2014 14:35
Dass bei den vielen Billigangeboten X Gigabyte Webspace zu nur ein paar Euro pro Monat nicht mehr viel für Sicherheit übrig bleibt hab ich schon fast befürchtet. Daher bin ich seit Jahren bei FlexHost.at. Und siehe da: Deren Server waren nicht betroffen.

Thomas
12.04.2014 17:05
Wie heisst das Sprichwort? You always get what you pay for ;) Wer Webspace kauft der fast nichts kostet, bekommt auch Webspace, der fast nichts wert ist.

Brigitte
12.04.2014 22:54
Aber wenn die Entwickler von OpenSSL schon wissen, dass die Dumpingprovider sowieso nicht auf Sicherheit schauen, dann wäre es doch gescheiter, wenn die es so einrichten würden, dass dieses Heardbeed erst gar nicht dazuinstalliert wird.

Gerhard
13.04.2014 08:39
@Brigitte: OpenSSL findet noch eine ganze Reihe an weiterer Einsatzgebiete neben SSL-Zertifikaten. Der OpenSSL-Programmierer kann ja nicht wissen, wofür der Anwender das einsetzt. Ein auf Sicherheit geschulter Serveradmin weiß ganz gut, wie er einen Server sicher bekommt. Aber das ist eben mit Aufwand verbunden und man muss in vielen Fällen auch Kompromisse finden, was Komfort und Funktionalität betrifft.

Manuel
15.04.2014 12:22
@Gerhard: Davon kann ich als Admin ein Liedchen singen. Problem ist halt, dass der Anwender vollen Komfort und vollen Funktionsumfang will und oft sogar verlangt, dass Sicherheitslücken geöffnet werden, nur damit das unsichere CMS, für das er sich aus einer Laune heraus entschieden hat, auf seinem Server läuft. Auch wenn man ihn noch so oft darauf hinweist, dass das keine gute Idee ist, wenn sich dann hinterher die Sicherheitslücke auswirkt, meckert er erst wieder. Man hat es nicht einfach als Admin.

Franz
16.04.2014 14:17
Ich denke, es ist das selbe Problem mit der Gesundheit. Wenn ich jetzt eine Zigarette rauche, geht es mir hinterher noch immer gut. Der Lungenkrebs kommt dann erst 20 Jahre später. Wenn ich jetzt eine Sicherheitslücke offen lasse und eine Woche später wurde ich immer noch nicht gehackt, ist doch alles sicher. Die Hackattacke kommt dann erst Monate später. Ich finde, jeder muss wissen, wie sicher oder unsicher er leben will.

Gerhard
16.04.2014 21:50
@Franz: Das sehe ich aber nicht genauso wie du. Durch fahrlässiges Verhalten gefährdet der unsichere Serveranwender auch andere, nämlich beispielsweise die, die dann in seinem Onlineshop einkaufen und seine Kreditkartendaten eingeben.

Jörg
19.04.2014 14:41
Solche Kollateralschäden könnte man dann als „Passivrauchen“ sehen, wenn wir bei dem Vergleich von Franz bleiben :)

Klaus
22.04.2014 17:13
@Jörg: Mit dem einzigen Unterschied, dass Passivrauchen nur lästig ist, davon bekommt man keinen Lungenkrebs. Von eingegebenen und danach gestohlenen Kreditkarten entsteht aber sehr wohl ein Schaden.

Thomas
23.04.2014 13:42
Ich verstehe die Aufregung ehrlich gesagt nicht ganz. Das Hauptproblem besteht m.E. doch erst dann, wenn eine Sicherheitslücke bekannt wird, aber viele Server-Admins nicht reagieren. Dann besteht ein großes Problem. Vorher, wo die Lücke noch niemanden bekannt ist, ist es eher Zufall, dass jemand mit dem ausgelesenen Speicherblock etwas anfangen konnte. Wenn jetzt sowieso jeder die Lücken stopft, sehe ich das mehr als ein Aufpauschen der Tragweite durch die Medien.

Gerhard
24.04.2014 11:06
@Thomas: Wenn eine derartige Lücke bekannt wird, muss auf jeden Fall davon ausgegangen werden, dass evtl. Daten ausgespäht werden konnten. Folglich sollte man keinesfalls zögern und umgehend Passwörter und Zertifikate ändern.
ecommerce-blog.at - Onlineshop & Shopsystem Österreich
Wir danken unserem Sponsor www.arweb.at

Empfohlene Bücher: