Am Montag, dem 7. April, wurde eine große Schwachstelle namens „Heartbleed“ in der beliebten kryptografischen Bibliothek OpenSSL gefunden, die bei Anwendungen und Webservern weit verbreitet ist. Die Sites und Dienste im Internet sind daher damit beschäftigt, diese Schwachstelle zu schließen und die SSL-Zertifikate zu aktualisieren, um ihre Kunden zu schützen. Wie bereits erwähnt, sind OpenSSL v1.0.1 bis 1.0.1f (einschließlich) anfällig und OpenSSL 1.0.1g, das am 7. April 2014 veröffentlicht wurde, behebt diesen Fehler.
Ein Auszug von Heartbleed.com sagt,
Der Heartbleed Bug ist eine schwerwiegende Schwachstelle in der beliebten OpenSSL-Kryptografie-Softwarebibliothek. Diese Schwachstelle ermöglicht den Diebstahl von Informationen, die unter normalen Bedingungen durch die SSL/TLS-Verschlüsselung geschützt sind, die zur Sicherung des Internets verwendet wird. SSL/TLS bietet Kommunikationssicherheit und Datenschutz über das Internet für Anwendungen wie Web, E-Mail, Instant Messaging (IM) und einige virtuelle private Netzwerke (VPNs).
Der Heartbleed-Bug ermöglicht es jedem im Internet, den Speicher der Systeme zu lesen, die durch die anfälligen Versionen der OpenSSL-Software geschützt sind. Auf diese Weise können Angreifer die Kommunikation abhören, Daten direkt von den Diensten und Benutzern stehlen und sich als Dienste und Benutzer ausgeben.
Überprüfen Sie, ob Ihre Website oder Ihr Android-Telefon vom Heartbleed-Fehler betroffen ist –
Es gibt einige Dienste, die Ihnen sagen können, ob die Site, der Sie Ihre Informationen anvertraut haben, angreifbar war oder noch ist und wann ihr Zertifikat aktualisiert wurde.
Filippo Valsordas Heartbleed-Test – filippo.io/Heartbleed
Geben Sie eine URL oder einen Hostnamen ein, um Ihren Server auf Heartbleed zu testen (CVE-2014-0160). Sie können einen solchen Port angeben example.com:4433. 443 standardmäßig.
LastPass Heartbleed-Checker – lastpass.com/heartbleed
Prüfen Sie, ob eine Site für Heartbleed anfällig ist. Es zeigt die Serversoftware der Site an, sagt, ob sie angreifbar war und ob die SSL-Zertifikate jetzt sicher sind und wann sie zuletzt erstellt wurden.
Chromebleed (Google Chrome-Erweiterung)
Zeigt eine Warnung an, wenn die von Ihnen besuchte Site von einem Heartbleed-Fehler betroffen ist. Es überprüft die URL der Seite mithilfe des Dienstes von Filippo. Nützlich, wenn Sie die Websites nicht manuell überprüfen möchten.
Mashable hat eine interessante Liste bekannter Sites zusammengestellt, in denen der aktuelle Status angegeben ist, ob sie betroffen waren und ob Sie Ihr Passwort ändern sollten.
Heartbleed-Detektor für Android –
Android-Benutzer können mit einer kostenlosen App namens „Heartbleed Detector“ von Lookout Mobile Security leicht überprüfen, ob ihr Android-Gerät für den HeartBleed-Bug anfällig ist. Die App bestimmt, welche OpenSSL-Version Ihr Gerät verwendet. Wenn auf Ihrem Gerät eine der betroffenen Versionen von OpenSSL ausgeführt wird, wird überprüft, ob das spezifische anfällige Verhalten aktiviert ist oder nicht.
Wenn Ihr Gerät jedoch anfällig ist, können Sie keine Maßnahmen ergreifen, es sei denn, es wird ein Patch von Google oder Ihrem Gerätehersteller veröffentlicht.
Tags: AndroidSicherheit