HeartbleED
""SSL GAU""
Der fehler
Was ist der HeartBleed-Bug?
- Text: http://heartbleed.com/
- Bild: http://xkcd.com/1354/
- deutsch: http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
- und andere Artikel auf heise seit dem 8.4.2014
Folgen
- man kommt an fremde Daten auf dem Server:
- private Key des Servers
- Daten aus SSL-Verbindungen anderer Nutzer (Name, EMail, Passwort, ...)
- aufgezeichnete SSL-verschlüsselte Kommunikation nachträglich entschlüsselbar (Ausnahme: PFS)
- gefälschte Server könnten mit "korrektem" Zertifikat und Schlüsselpaar betrieben werden
- der Server kann auch "rückwärts" an Daten auf dem Client kommen, wenn dort die fehlerhafte SSL-Version läuft
was tun? (server)
- openssl library updaten und dienste neu starten
- neues schluesselpaar erzeugen
- neues zertifikat dafür anfordern / installieren
- altes zertifikat revoken
- ggf. kostenpflichtig
Was tun? (Client)
- Server auf Bug checken: http://filippo.io/Heartbleed/ oder http://possible.lv/tools/hb
- Server auf erneuertes Zertifikat checken (nach 7.4.2014?)
- Passwörter ändern (ggf. mehrfach)
- CRL-Check anschalten (Chrome, Advanced Settings)
- Passwort-Manager benutzen, Backups haben
- PasswordSafe, KeepassX (nicht: Keepass)
- keine closed-source SW, keine Cloud
Probleme
- man kann nicht wirklich auf ein neues Keypaar checken!?
- man kann nicht wissen, ob die Seite in der Vergangenheit angreifbar war / angegriffen wurde
Updates
- Klar: openssl-Library auf Servern und Clients.
- Aber auch:
- Einzelne Software mit statisch gelinktem OpenSSL.
- z.B. OpenVPN auf Windows
- VPN-Router?
- Handies?
- Fernseher?
- ...
- Kühlschränke?
heartbleed
By Thomas Waldmann
heartbleed
heartbleed SSL bug
- 1,968