HeartbleED

""SSL GAU""

Der fehler

Was ist der HeartBleed-Bug?

• Text: http://heartbleed.com/
• Bild: http://xkcd.com/1354/
• deutsch: http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
• und andere Artikel auf heise seit dem 8.4.2014
  

Folgen

• man kommt an fremde Daten auf dem Server:
• private Key des Servers
• Daten aus SSL-Verbindungen anderer Nutzer (Name, EMail, Passwort, ...)
  
• aufgezeichnete SSL-verschlüsselte Kommunikation nachträglich entschlüsselbar (Ausnahme: PFS)
  
• gefälschte Server könnten mit "korrektem" Zertifikat und Schlüsselpaar betrieben werden
• der Server kann auch "rückwärts" an Daten auf dem Client kommen, wenn dort die fehlerhafte SSL-Version läuft
  

was tun? (server)

• openssl library updaten und dienste neu starten
  
• neues schluesselpaar erzeugen
• neues zertifikat dafür anfordern / installieren
• altes zertifikat revoken
• ggf. kostenpflichtig

Was tun? (Client)

• Server auf Bug checken: http://filippo.io/Heartbleed/ oder http://possible.lv/tools/hb
• Server auf erneuertes Zertifikat checken (nach 7.4.2014?)
  
• Passwörter ändern (ggf. mehrfach)
• CRL-Check anschalten (Chrome, Advanced Settings)
  
• Passwort-Manager benutzen, Backups haben
  
• PasswordSafe, KeepassX (nicht: Keepass)
• keine closed-source SW, keine Cloud
  

Probleme

• man kann nicht wirklich auf ein neues Keypaar checken!?
• man kann nicht wissen, ob die Seite in der Vergangenheit angreifbar war / angegriffen wurde
  

Updates

• Klar: openssl-Library auf Servern und Clients.
  
• Aber auch:
• Einzelne Software mit statisch gelinktem OpenSSL.
  
• z.B. OpenVPN auf Windows
• VPN-Router?
• Handies?
  
• Fernseher?
• ...
  
• Kühlschränke?