OpenSSL-Sicherheitslücke: Millionen Web-Nutzer gefährdet
Schuld ist ein Fehler in der Software OpenSSL, der offenbar mehr als zwei Jahre unentdeckt blieb und erst jetzt behoben wurde. Alle übertragenen Daten aus den vergangenen zwei Jahren können so womöglich abgefangen worden sein. Geschätzt wird, dass bis zu zwei Drittel aller Websites betroffen sind.
Was ist OpenSSL?
OpenSSL ist eine Verschlüsselungssoftware, die die Kommunikation sichern soll und deshalb im Hintergrund zahlreicher Webserver, E-Mail- und Chat-Programmen läuft. Die OpenSSL-Versionen 1.0.1 bis 1.0.1f sind von der Sicherheitslücke betroffen. OpenSSL ist kostenlos und daher weit verbreitet.
Woher kommt die Sicherheitslücke?
Die Sicherheitslücke steckt im Code der Transportverschlüsselung TLS (Transport Layer Security, früher SSL) – genauer gesagt im Programmteil „Heartbeat“, der dafür sorgen soll, dass die Verschlüsselung über eine bestimmte Zeit aufrechterhalten wird und so nicht immer wieder neu initialisiert werden muss. Durch den Fehler in der Funktion können Angreifer nun private Informationen vom Arbeitsspeicher des Websevers abrufen. Deshalb wurde die Sicherheitslücke „Heartbleed“ genannt.
Der sogenannte „Heartbeat-Bug“ macht es dabei möglich, in eigentlich geschützte Systeme einzudringen und deren Speicher auszulesen. Pro Angriff können 64 Kilobyte ausgelesen werden – genug, um die Kommunikation zu belauschen und Passwörter, Kreditkartendaten sowie andere persönliche Daten zu klauen. Es wird davor gewarnt, dass ein Angriff vergleichsweise einfach durchzuführen und nicht zu sehen ist.
Wer ist betroffen?
Betroffen sind Betreiber und Nutzer zahlreicher Websites, darunter:
- Yahoo
- Web.de
- Flickr und
- Hidemyass.com
- OkCupid.com
Google, Yahoo und einige weitere Anbieter sind dabei, die Sicherheitslücken zu schließen.
Was kann man tun?
Um die Fehlerbehebung und neue Zertifikate für eine SSL-Verschlüsselung müssen sich die Betreiber kümmern. Den Fehler beheben soll die kürzlich herausgegebene Version OpenSSL1.0.1g. Es ist allerdings fraglich, ob ein Upgrade reicht oder nicht vorsichtshalber alle bisher genutzten TLS-Zertifikate ausgetauscht werden müssten. Wer sichergehen will, sollte nur den Seiten mit solchen Zertifikaten vertrauen, die nach der Entdeckung der Sicherheitslücke ausgestellt wurden.
Nutzer sollten außerdem ihre Passwörter, zum Beispiel für E-Mails, umgehend ändern. Dies gilt besonders für:
- Yahoo und Yahoo Mail
- Tumblr
- Dropbox
- eBay
- Amazon Web Services
- Soundcloud
- Wunderlist
- OkCupid
- LastPass
- Google-Nutzer von Gmail, YouTube, Play, obwohl Google die Sicherheitslücke nach eigenen Angaben bereits geschlossen hat
Hilfestellungen für ein sicheres Passwort gibt es hier.
Tipp für App-Nutzer: Apps kann man bei Diensten wie Facebook oder Twitter einen Datenzugriff genehmigen. Nicht mehr benutzte Apps sollte man daher löschen und die Zugangsberechtigungen regelmäßig überprüfen.
Pingback: Poodle: Sicherheitslücke in alter SSL-Verschlüsselung entdeckt - Spam Info