Immer wieder sonntags KW 15
Eine ereignisreiche Woche geht zu Ende, nur leider waren die Ereignisse alles andere als positiv. Wieder einmal wurden Millionen von E-Mail-Adressen / Passwort-Kombinationen entwendet, das BSI hat daraufhin erneut einen Selbsttest online gestellt, im Gegensatz zum Fall im Januar, wurden Betroffene aber auch von den großen Anbietern informiert. Und dann kam diese Woche auch der Internet-Super-GAU: Der Heartbleed-Bug, eine Lücke in OpenSSL, machte weite Teile des Internets angreifbar. Private SSL-Keys können durch den Bug abgegriffen werden, machen die Verschlüsselung somit unbrauchbar. Ob und in welchem Umfang die Lücke bisher ausgenutzt wurde, ist unklar.
Vorkommnisse wie Heartbleed zeigen, das man sich niemals hundertprozentig auf etwas verlassen kann. Die Folge? Ihr solltet vorsichtshalber Eure Login-Daten aller Dienste ändern, die OpenSSL einsetzen. Und das sind sehr viele. Währenddessen könnt Ihr auch gleich den digitalen Frühjahrsputz durchführen. Und auch ein Blick auf diverse Passwortmanager (z.B. 1Password, KeePass, LastPass) lohnt, die erleichtern die Änderung von Passwörtern ungemein, da alles an einem Platz gesammelt ist. Sollte so ein Fall dann wieder einmal vorkommen – was natürlich keiner hofft – fällt das alles ein bisschen leichter.
Abseits dieser negativen News gab es diese Woche auch noch das Update für Windows 8.1, das zahlreiche Neuerungen mit sich bringt. Solltet Ihr noch mehr Lesestoff benötigen, sind hier noch einmal die 10 meistgelesenen Artikel der aktuellen Woche:
1. Windows 8.1 Update 1: Microsoft veröffentlicht Downloads
2. Identitätsdiebstahl: BSI informiert Betroffene, Selbsttest online
3. Kommentar zum Identitätsdiebstahl / BSI-Sicherheitstest
4. iOS-Geräte mit Akkuproblemen? So läuft es wieder länger
5. DynDNS stellt kostenlose Accounts ein
6. Danke Facebook! Like-Bettler werden bestraft
7. Windows 8.1 Update: Microsoft stellt ISOs für Abonnenten zum Download ein
8. Google Kalender soll vor radikalem Redesign stehen
9. Aufgepasst! Synology-Update 5.0-4458 Update 2 legt Netzwerkspeicher lahm
Wird geladen ...
Blöde Frage: woher weiß ich welche Seiten konkret betroffen warten? Der Test sagt ja nur gepatcht oder nicht betroffen, somit weiß ich nicht ob SSL zum Einsatz kam.
@Timo: Hier ein Link zu den betroffenen Seiten:
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
Danke! Hatte die Seite letzte Woche mal gesehen aber den Link nicht mehr gefunden.
Irgendwie will Kommentar bearbeiten im mobilen Chrome nicht funktionieren, komme immer auf die Startseite.
Nur 2 Seiten gefunden bei denen ich das PW noch ändern sollte u.a. Kaspersky und dazu noch eine unwichtige Seite.
Wenn nun bei den Zertifikatsinfos so etwas steht wie „Gültig ab 10.3.2013…“ ist es doch sinnlos das PW zu ändern, da evtl. der SSL-Key gestohlen worden sein konnte, richtig? Bis manche Seitenbetreiber da reagieren werden wird ewig dauern vor allem bei denen der Support generell schon lahm oder gar nicht reagiert – wenn man sie darauf aufmerksam machen würde 🙁 Jetzt ist man auf Gedeih und Verderb den Admins ausgeliefert.
Ganz blöde Frage: wäre es momentan nicht sogar „sicherer“ ohne SSL sich einzuloggen (weil jeder jetzt auf den SSL-Zug aufspringt), wenn die Seiten beides anbieten? Dort ist es sicher nicht so leicht, wie es aktuell mit SSL ist oder sehe ich das falsch?
Ich verstehe die Problematik mit den SSL-Schlüsseln leider nur im Ansatz. Wenn ich nun eine Mail Adresse zB bei Web.de habe und diese über Outlook, auf meinem Android oder iPhone abrufe, ist dann ein SSL-Schlüssel auf meinen Devices gespeichert der ersetzt werden muss? Wenn ja, wie mache ich das? Und was ist mit einem Account bei einem Onlineshop? Dort steht meist, dass die Übertragung nach dem Login über SSL sichergestellt ist. Was muss ich dann tun? Besten Dank vorab!
Bei der von Sven geposteten Liste bringt bei den nicht betroffen Seiten die Info leider wenig. Da sind sicher einige dabei, bei denen einfach schon die gepatchte Version lief. Bei dem Hoster wo ich angemeldet bin, war das schon ca. 6 Uhr morgens.
@Timo, ja ohne getauschtes Zertifikat bringt das ändern das Passworts nicht ganz so viel, aber evtl. trotzdem sinnvoll, da zum auslesen der Traffic mitgeschnitten werden muss (von jemand der zuvor das Zertifikat gestohlen hat) und es nicht einfach vom Arbeitsspeicher des Servers von irgendjemand gelesen werden kann. Sobald ein neues Zertifikat da ist, dann natürlich nochmal wechseln, oder wenn man nicht zwei mal wechseln will erst dann 😉
Als Tipp für LastPass-User:
Im Browser-Plugin unter Tools > Security Check.
Dann bekommt man neben dem normalen Test noch eine Auflistung der Seiten, die für Heartbleed anfällig waren (oder auch noch sind), zusammen mit einer Übersicht wann diese gepatcht haben und wann man dort zuletzt das Passwort geändert hat.
Danke nanjara, genau das hab ich gesucht. 🙂
Soweit ich als Laie das richtig verstanden habe ist das Datum dass SSL Zertifikat kein Ausschluss-Kriterium, teilweise sind die Zertifikate nur entsprechend ersetzt worden ohne die Daten (Ausstellung, Ablauf) zu ändern. Da gab es auch Kritik an dem von Lastpass angebotenen Test – ich glaube beim (Wohnzimmer-) Hostblogger…