Heartbleed – Diese Systeme müssen reagieren

Last Update: 14.04.2014

Was ist Heartbleed?

Heartbleed ist die größte Sicherheitslücke im Internet. Betroffen sind alle Systeme mit OpenSSL 1.0.1 – 1.0.1f. Nicht betroffen sind Systeme, die eine ältere OpenSSL-Version einsetzen.

Da allerdings OpenSSL 1.0.1 seit Dezember 2011 verfügbar ist, ist die potenzielle Angriffsfläche aufgrund der Verbreitung dieser Version sehr hoch.

Der Heartbleed Bug ist eine schwere Sicherheitslücke in der weit verbreiteten OpenSSL-Bibliothek. Diese Sicherheitslücke ermöglicht den Diebstahl von Informationen, die normalerweise über eine SSL/TLS-Verschlüsselung gesichert sind.

SSL/TLS-Kommunikation bietet “normalerweise” eine gesicherte Übertragung von Informationen (und damit Schutz der Privatsphäre) für Anwendungen wie Web-Anmeldungen, E-Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs).

Der Heartbleed-Bug erlaubt es, die Kommunikation zwischen dem Benutzer und den Diensten zu belauschen, die Benutzernamen und Passwörter abzufangen und dann frei zu verwenden. Das ermöglicht den kompletten Identitätsdiebstahl.

 

Welche Systeme sind betroffen?

Welche Systeme aktuell betroffen sind, erfahren Sie auf dieser aktualisierten Liste:

• http://heartbleed.com/
• http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Betroffene Betriebssysteme

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Nicht betroffen sind Apple (OS-X) und Microsoft-Betriebssysteme (Windows).

E-Mail-Dienste

• Gmail
• Yahoo-Mail
• Web.de
• GMX
• 1 und 1

E-Commerce und Shopping-Websites (Software)

• xt-Commerce 3 – alle Versionen
  http://www.secure-one.de/cms/xtcommerce-online-shops-von-luecken-bedroht/
• modified < 1.05 SP1
  http://www.modified-shop.org/forum/index.php?topic=28894
• Andere Systeme, wie z.B. Magento, könnten betroffen sein, wenn der Hosting-Server OpenSSL in einer der entsprechenden Version nutzt.
  http://inchoo.net/ecommerce/heartbleed-and-magento-how-to-fix/
  http://magento.stackexchange.com/questions/18316/heartbleed-bug-affecting-magento

Content Management Systeme (CMS)

• Typo3
  http://www.heise.de/security/meldung/Hintergruende-des-Typo3-Hacks-weiter-im-Dunkeln-2149176.html
• WordPress
  http://www.wordfence.com/blog/2014/04/what-wordpress-site-owners-need-to-do-about-the-heartbleed-vulnerability/
• Joomla
  http://joomla.digital-peak.com/blog/166-joomla-and-openssl-heartbleed-leads-to-heartbreak
• Redaxo
• weitere CMS

Auch hier könnten alle Systeme betroffen sein, sofern OpenSSL in einer der genannten Versionen verwendet wurden. Wichtig ist hier, das betreffende System zu untersuchen. Das können Sie z.B. hier testen: https://lastpass.com/heartbleed/

Außerdem (waren) betroffen

• Amazon Webservices (nicht die Amazon Shopping-Site)
• GoDaddy

(vgl. http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/)

Social Networks & Video

Unbedingt die Passwörter ändern sollten Nutzer von:

• Facebook
• Instagram
• Pinterest
• Tumblr
• Youtube
• Flickr
• Twitter (es gibt ein Patch)

http://www.tjkelly.com/blog/heartbleed-website-list/

Generell sollten alle Nutzer von Online-Games und Online-Casinos ihre Passwörter ändern.

Online-Storage

• Box
• Dropbox
• Github
• Wikipedia
• Wunderlist

 

Passwort-Manager

• Dashlane
• LastPass

 

Auch die Nutzer von Google-Diensten sollten das Passwort ändern.

 

Wie man sichere Passwörter benutzt

1. 100% sichere Passwörter gibt es nicht
2. Passwörter sollten generell aus mindestens 8 Zeichen bestehen (mindestens, wenn mehr, dann basser)
3. Passwörter sollten immer Kombinationen von Buchstaben (AaBbCcDd…), Zahlen (12345…) und Sonderzeichen (?!$§) nutzen
4. Jedem Account ein anderes Passwort – Vorteil: Wird ein Passwort gehackt, dann weiß der Hacker nicht gleich alle Passwörter 🙂
5. Keinesfalls Passwörter in einer Excel-Datei o.ä. speichern. Wenn schon, dann in einem sicheren Passwort-Manager, wie z.B. Keepass
6. Passwörter mit Eselsbrücken merken

Ein solches Passwort kann wie folgt aussehen.

Beispiel für ein sicheres Passwort

Folgende Angaben sind wichtig:

• Vorname der Person ist Heinrich
• Nachname der Person ist Müller
• Geboren ist er am 10.3.
• Wohnt in 45468 Mühlheim

Ein sicheres Passwort kann nun wie folgt aussehen:

Geboren am 10.3., also der zehnte Buchstabe Vorname und der dritte Buchstabe des Nachnamens. Da es keinen zehnten Buchstaben im Vornamen gibt, nimmt man den ersten Buchstaben.

HL

Sonderzeichen für die Trennung, z.B. ein #

Die ersten drei Buchstaben von Ort Plus Postleitzahl

Müh45468

Ein Sonderzeichen, mit dem sich ausländische Hacker schwer tun (gelobt sei die deutsche Sprache): äöü

Fertiges Passwort: HL#Müh45468ä

Dieses Passwort variiert man nun für die diversen Dienste, z.B.

Pinterest, Youtube, LinkedIn, Google, Yahoo, Tumblr, Twitter etc.

• Pinterest: HL#Müh45468äPi
• Youtube: HL#Müh45468äYo
• LinkedIn: HL#Müh45468äLi
• Google: HL#Müh45468äGo
• Yahoo: HL#Müh45468äYa
• Tumblr: HL#Müh45468äTu
• Twitter: HL#Müh45468äTw

und so weiter und so fort.

 

 

 

Tagged: Heartbleed, OpenSSL, passwort, security, sichere passwörter, verschlüsselt