Das Thema ist einigermaßen komplex. Ich werde versuchen, es möglichst einfach darzustellen; und ich werde beschreiben, wie ich selbst damit umgehe bzw. was jetzt zu tun ist.
[Update 2014-04-11:
- Inzwischen hat mich cyberport.at aufgefordert, mein Kennwort zu ändern
- Bruce Schneier, einer der Kryptoexperten schlechthin, meint: "Auf einer Skala von 0 bis 10 hat dieser Fehler den Wert 11"
- Die Suche in Google nach "heartbeat" liefert derzeit (23:00h) bereits 21,5 Millionen Treffer
- Auch facebook.com setzt angeblich PFS seit Ende 2013 ein (s. Text)
]
SSL (secure socket layer) ist die Komponente, die beispielsweise beim Online-Banking (gekennzeichnet durch das "s" in der URL https://...) dafür sorgt, dass die Kommunikation mit dem Server verschlüsselt abläuft. Viele Websites verwenden dazu die Implementierung OpenSSL, von der seit 8.April bekannt ist, dass sie geheimste Dinge verrät, ohne dass der Angreifer auf dem Server Spuren hinterlässt.
Damit so eine Session überhaupt verschlüsselt ablaufen kann, müssen sich Server und der Client (also dein Browser) auf einen geheimen Schlüssel einigen. Selbst dieses Aushandeln läuft bereits verschlüsselt ab, indem der Server seinen eigenen öffentlichen Schlüssel dem Browser bekannt gibt und die Kommunikation dann mit seinem geheimen Schlüssel wieder entschlüsselt (asymmetrische Verschlüsselung).
Wenn es jetzt ein Angreifer schafft, diesen geheimen Schlüssel zu erfahren, dann kann er unter anderem eine aufgezeichnete Session hinterher in aller Ruhe mit diesem geheimen Schlüssel entziffern. Es sei denn, der Server setzt auch die sogenannte Perfect Forward Secrecy (PFS) ein, dann ist das nicht möglich. Von den großen Providern verwenden das aber derzeit nur Google (seit 2011) und facebook (seit Ende 2013).
Und genau das ist die Schwachstelle: OpenSSL hat einem Angreifer diesen geheimen Schlüssel gezeigt!
Außerdem war es möglich, die Kennwörter einiger gerade zufällig angemeldeten Anwender auszulesen (nicht aller, denn die Menge war auf 64KBytes begrenzt).
Inzwischen haben die meisten Websites eine korrigierte Fassung von OpenSSL eingespielt. Ganz seriöse Sites werden sich aber auch einen neuen geheimen Schlüssel besorgen (müssen), denn der alte ist ja jetzt kompromittiert.
Weil du aber nicht sicher sein kannst, dass nicht auch dein Kennwort mit ausgelesen wurde, ist es dringend angeraten, dein Kennwort zu ändern.
Panik ist aber dennoch nicht angesagt. Ich hab etwa mein Kennwort bei Google nicht geändert, weil sie bereits PFS verwenden (s. oben). Ebenfalls nicht geändert hab ich bei amazon.de, weil diese Site nicht betroffen war.
Die einzigen Seiten, bei denen ich das Kennwort geändert hab, waren sparkasse.at und oeticket.com. dropbox.com werde ich noch nachholen; aber da muss ich auf mehreren Rechnern eingreifen, das wird etwas komplizierter.
Zum Schluss noch ein paar weiter führende Links zu diesem Thema:
Themenseite Heartbleed bei heise.de
Liste gängiger Websites, die betroffen waren, auf github
Seite, auf der du selbst testen kannst, ob eine Seite noch angreifbar ist
Keine Kommentare:
Kommentar veröffentlichen