kaimi.cc

203: Non-Authoritative Information

Das Internet ist kaputt.

Bild: heartbleed.com

Gestern wurde eine Sicherheitslücke in OpenSSL bekannt, über die man den geheimen Schlüssel eines betroffenen Servers auslesen kann. Die Lücke existiert seit einigen Versionen der Software, seit ungefähr zwei Jahren.

OpenSSL ist sehr weit verbreitet. Im Klartext heißt das: die Verschlüsselung in einem Großteil des Internets ist kaputt.

Das bedeutet, daß im Zweifel sämtliche Dienste, die man nutzt, kompromittiert sind:

  • Webseiten (Social Media, Onlineshops, Banken, …)
  • Mailserver
  • Instant Messaging (z.B. Jabber)
  • Apps auf Mobiltelefonen
  • (Open)VPN
  • (Open)SSH

Für alle diese Dienste muss zunächst auf dem Server eine nicht verwundbare Version von OpenSSL installiert werden, alle Zertifikate getauscht und danach müssen alle Nutzer Ihre Passwörter / Schlüssel ändern.

Dummerweise kann man bei den meisten Anbietern nicht davon ausgehen, daß sie adäquat mit diesem Problem umgehen. Alleine ob man betroffen ist, wird schon kaum jemand kommunizieren. Dann die Software auf einen aktuellen Stand bringen und alle Kunden über die notwendige Passwortänderung informieren – eher unwahrscheinlich. Allerdings sollte man nicht einfach ohne Benachrichtigung auf Verdacht Passwörter ändern. Denn dann ist das neue Passwort im Zweifel genauso kompromittiert wie das alte, wenn der Server immer noch mit dem Bug läuft.

Als „Zwischenlösung“ kann ich nur empfehlen, in den nächsten Tagen bei allen Diensten temporäre, zufällige Passwörter einzustellen. Und auf keinen Fall bei 2 Diensten dasselbe. Dann nach Beheben der Lücke wieder ein „ordentliches“ Passwort verwenden. Aber wenn man schon mal dabei ist, kann man auch gleich bei einem (anderen) zufälligen bleiben. Ist eh sicherer. ;)

Informiert Euch ein Anbieter nicht, ob er betroffen ist und/oder die Lücke bei ihm geschlossen wurde? Dann macht am besten den Account zu. Schließlich wird er mit anderen schwerwiegenden Problemen wohl ähnlich offen umgehen. Nicht gerade vertrauenswürdig.

Post a comment

Your email address will not be published. The form doesn’t spit out an email? Go get a real browser and/or mail client.

Name:
Website: