Der IT-Experte Robert Graham warnt vor einer Sicherheitslücke, die im weit verbreiteten Betriebssystem Linux entdeckt wurde. Der so genannte Shellshock führt dazu, dass nahezu beliebiger Code ausgeführt werden kann, wenn ein Programm die Bash Shell aufruft.
Letzte Woche wurde eine schwere Sicherheitslücke in SSL-Verbindungen bekannt. Da der Fehler in einer weit verbreiteten Bibliothek enthalten war, sind viele Webseiten betroffen. Bei welchen Seiten sollten Sie Ihr Kennwort sofort ändern, um sicher zu bleiben?
Ändern Sie das jeweilige Kennwort, wenn Sie einen Account bei einer der folgenden Webseiten haben:
Aufgrund des Heartbleed-Bugs müssen dieser Tage alle betroffenen Webserver-Betreiber ihre SSL-Zertifikate erneuern. Dazu braucht man eine Anfrage-Datei und einen privaten Schlüssel. Die Anfrage-Datei reicht man dann beim SSL-Anbieter ein und erhält nach Bezahlung das Zertifikat zurück. Wie erstellen Sie eine solche Anfrage?
Am einfachsten gelingt das Erstellen einer CSR-Anfrage und des nötigen privaten Schlüssels auf einem Linux-Server per OpenSSL. Stellen Sie als Erstes sicher, dass Sie OpenSSL 1.0.1g oder neuer verwenden. Mit dem folgenden Befehl erstellen Sie dann eine Zertifikats-Anfrage (in einer einzigen Zeile):
openssl req -new -nodes -keyout myserver.key -out server.csr -newkey rsa:2048
Im Anschluss werden verschiedene Angaben abgefragt, etwa der Name der Webseite (Common Name). Die Schlüsseldatei und die Anfrage-Datei („server.csr“) liegen nun im aktuellen Ordner und können, etwa per „cat server.csr“, angezeigt werden.
Diese Woche hat eine schwerwiegende Sicherheitslücke in der OpenSSL-Bibliothek Schlagzeilen gemacht. Tausende Webseiten und Server waren betroffen und mussten nicht nur die Lücke schließen, sondern auch ihre Sicherheits-Zertifikate neu ausstellen lassen. Ob Ihr Server auch verwundbar ist, klärt ein Schnelltest.
Unter der Adresse https://filippo.io/Heartbleed/ finden Sie den Sicherheitstest. Mit ihm testen Sie einen beliebigen Webserver, ob die Sicherheitslücke dort vorhanden ist. Geben Sie zu Testzwecken doch mal die Adresse Ihrer Bank (ohne „https://“) oder Ihres eigenen Webservers ein und sehen sich das Ergebnis an. Wird der Bug dort gefunden, muss der Betreiber schnellstmöglich Maßnahmen ergreifen.
Nutzen Sie einen Linux-Server, lässt sich der Heartbleed-Bug mit den automatischen Updates Ihrer Distribution schließen. Je nach System rufen Sie dazu in einer Kommandozeile (etwa per SSH) den Befehl yum upgrade (CentOS) oder apt-get update; apt-get upgrade (Debian, Ubuntu) auf. Anschließend das Neu-Erzeugen der SSL-Zertifikate nicht vergessen.
Normalerweise gelten Datenverbindungen, die per SSL verschlüsselt werden, als ausgesprochen sicher. Sender und Empfänger tauschen ihre Daten verschlüsselt aus. Abhören unmöglich, so das Konzept. Doch jetzt das: Experten haben ein erhebliches Sicherheitsleck in OpenSSL entdeckt. Hacker können über das Sicherheitsleck in Computer einbrechen und dort nicht nur die Schlüssel stehlen, sondern auch Daten aus dem Speicher auslesen. Benutzernamen, Passwörter, Kreditkartendaten, sensible Daten – alles, was man aus gutem Grund verschlüsselt, steht den Cyberdieben dann im Klartext zur Verfügung.
Ein absoluter GAU, denn OpenSSL wird nahezu überall eingesetzt. Web-Server, Datenbanken, E-Mail-Programme, Bank-Software: Viele Programme verwenden OpenSSL, um sichere Datenverbindungen zu ermöglichen. Es gibt zwar Alternativen, aber OpenSSL ist besonders beliebt, weil eigentlich sehr stabil, verlässlich und OpenSource, also kostenlos verfügbar.
Betroffen ist ausnahmslos jeder, der das Internet nutzt. Denn OpenSSL kommt ständig zum Einsatz: Beim Login, beim Übertragen sensibler Daten, bei der Fernsteuerung eines anderen Rechners – OpenSSL ist garantiert im Einsatz. Egal, ob man mit PC, Tablet, Smartphone oder Smart-TV online geht.
Das Sicherheitsproblem ist längst gestopft. Jetzt muss aber überall, wo OpenSSL verwendet wird, das Update eingespielt werden, in jeder einzelnen Software. Das kann dauern, bis das Sicherheitsleck überall gestopft ist. Selbst prominente Seiten hatten das Sicherheitsproblem, und nicht alle haben schnell reagiert und das Leck gestopft.
Internetbenutzer müssen in den nächsten Tagen auch ihre Software aktualisieren, etwa Betriebssystem, Browser, E-Mail-Software oder Banking-Programme. Auch Smartphones werden aktualisiert werden müssen. Da kommt was auf die Benutzer zu. Außerdem sollte man die Passwörter der wichtigsten Onlinekonten erneuern.
In der OpenSSL-Bibliothek, die von Webseiten verwendet wird, um Daten verschlüsselt auszutauschen, wurde eine Sicherheitslücke entdeckt. Unter dem Namen „Heartbleed“ bekannt, sorgt diese Lücke momentan für große Probleme im Netz.
Denn jede betroffene Webseite muss
Das sollte so schnell wie möglich passieren,
bevor die Lücke aktiv ausgenutzt werden kann.
Mehr Infos bei Heise: https://heise.de/-2165517, https://heise.de/-2166861
