HeartbleED

""SSL GAU""

Der fehler


Was ist der HeartBleed-Bug?


Folgen

  • man kommt an fremde Daten auf dem Server:
    • private Key des Servers
    • Daten aus SSL-Verbindungen anderer Nutzer (Name, EMail, Passwort, ...)
  • aufgezeichnete SSL-verschlüsselte Kommunikation nachträglich entschlüsselbar (Ausnahme: PFS)
  • gefälschte Server könnten mit "korrektem" Zertifikat und Schlüsselpaar betrieben werden
  • der Server kann auch "rückwärts" an Daten auf dem Client kommen, wenn dort die fehlerhafte SSL-Version läuft

was tun? (server)

  • openssl library updaten und dienste neu starten
  • neues schluesselpaar erzeugen
  • neues zertifikat dafür anfordern / installieren
  • altes zertifikat revoken
    • ggf. kostenpflichtig

Was tun? (Client)

  • Server auf Bug checken: http://filippo.io/Heartbleed/ oder http://possible.lv/tools/hb
  • Server auf erneuertes Zertifikat checken (nach 7.4.2014?)
  • Passwörter ändern (ggf. mehrfach)
  • CRL-Check anschalten (Chrome, Advanced Settings)
  • Passwort-Manager benutzen, Backups haben
    • PasswordSafe, KeepassX (nicht: Keepass)
    • keine closed-source SW, keine Cloud


Probleme

  • man kann nicht wirklich auf ein neues Keypaar checken!?
  • man kann nicht wissen, ob die Seite in der Vergangenheit angreifbar war / angegriffen wurde

Updates

  • Klar: openssl-Library auf Servern und Clients.
  • Aber auch:
    • Einzelne Software mit statisch gelinktem OpenSSL.
    • z.B. OpenVPN auf Windows
    • VPN-Router?
    • Handies?
    • Fernseher?
    • ...
    • Kühlschränke?

heartbleed

By Thomas Waldmann

heartbleed

heartbleed SSL bug

  • 1,968