HeartbleED
""SSL GAU""
Der fehler
Was ist der HeartBleed-Bug?
Folgen
- man kommt an fremde Daten auf dem Server:
- private Key des Servers
- Daten aus SSL-Verbindungen anderer Nutzer (Name, EMail, Passwort, ...)
- aufgezeichnete SSL-verschlüsselte Kommunikation nachträglich entschlüsselbar (Ausnahme: PFS)
- gefälschte Server könnten mit "korrektem" Zertifikat und Schlüsselpaar betrieben werden
- der Server kann auch "rückwärts" an Daten auf dem Client kommen, wenn dort die fehlerhafte SSL-Version läuft
was tun? (server)
- openssl library updaten und dienste neu starten
- neues schluesselpaar erzeugen
- neues zertifikat dafür anfordern / installieren
- altes zertifikat revoken
Was tun? (Client)
- Server auf Bug checken: http://filippo.io/Heartbleed/ oder http://possible.lv/tools/hb
- Server auf erneuertes Zertifikat checken (nach 7.4.2014?)
- Passwörter ändern (ggf. mehrfach)
- CRL-Check anschalten (Chrome, Advanced Settings)
- Passwort-Manager benutzen, Backups haben
- PasswordSafe, KeepassX (nicht: Keepass)
- keine closed-source SW, keine Cloud
Probleme
- man kann nicht wirklich auf ein neues Keypaar checken!?
- man kann nicht wissen, ob die Seite in der Vergangenheit angreifbar war / angegriffen wurde
Updates
- Klar: openssl-Library auf Servern und Clients.
- Aber auch:
- Einzelne Software mit statisch gelinktem OpenSSL.
- z.B. OpenVPN auf Windows
- VPN-Router?
- Handies?
- Fernseher?
- ...
- Kühlschränke?