Nach dem Bekanntwerden des OpenSSL Bugs dauerte es nicht lange, dass sich die Nachricht wieder einmal über Twitter am schnellsten verbreitete.
Der Sensations-Journalismus hat erst danach mitbekommen, dass unser geliebtes Internet seit 2 Jahren und noch sicher für ein paar Wochen lang ein Paradies für Passwort und Datenklau ist. Dies beweist m.E. wieder einmal das auch Open Source Software nicht “sicherer” als Standard Software sein kann. Die Nerds unter Euch können hier einmal bei den Profis lesen, wie krass dieser OpenSSL Bug tatsächlich ist. Alle betroffenen Internet Provider mit OpenSSL (ca. 66% des weltweiten Internets wie z.B. google, web.de, dropbox, fb aber auch Behörden VPNs, S/Mime Emails etc.) , vor allem aber Linux z.B. Apache oder nginx Webseitenbetreiber sind gerade fieberhaft dabei den Bug aus den Systemen zu bekommen und ihre Zertifikate zu erneuern – das dauert sicher noch einige Wochen bzw. Jahre für Webseiten die keiner mehr pflegt.
Hier ein einfacher Rat mit dem man sicher nichts verkehrt macht: Internet die nächsten Wochen einfach mal meiden und erst danach bzw. bei Entwarnung der Webbetreiber ALLE Passworte und zwar wirklich ALLE ändern. Und nicht ein Passwort für alle Eure Dienste sondern für finanziell und persönlich kritische Dienste jeweils ein eigenes Passwort erstellen und für Social und andere Webseiten wieder ein eigenes vergeben. Viele Daten sind vermutlich ohnehin längst geklaut bzw. liegen auf irgendwelchen Servern.
- Hier könnt ihr die Seite überprüfen, über die ihr im Internet sicheren Datenverkehr erwartet hättet: http://filippo.io/Heartbleed/
- Hier findet man alles zum Fixen des Problems github
- Cool bleiben und System immer gepatched halten und Passwörter alle 3 Monate ändern.
Seit 17 Jahren ist mir bei Microsoft noch niemals mein internes Passwort geknackt worden und da bin ich sehr froh drum. Wir müssen auch alle 90 Tage unser PW ändern und unsere PCs sind mit Hilfe von SCCM immer automatisch optimal abgesichert. Aber wie in meinem letzten Post beschrieben, ist mir wohl tatsächlich mein Hotmail Passwort geknackt worden, ohne bisher genau zu wissen wie das kam – eigene Unvorsichtigkeit auf einer Phishing Seite, geknackt durch einen Bug oder einfach verkauft durch einen unzufriedenen Admin – who knows. Ob das mit dem Heartbleed OpenSSL Bug zu tun hatte ist eher unwahrscheinlich, weil wir für Hotmail etc. kein OpenSSL benutzen, aber könnte schon durch aus sein.
Es wird nun leider wieder einmal sehr viel Vertrauen in unsere Branchensicherheit verloren gehen und es wird viel Aufarbeitung brauchen , um dieses Vertrauen wieder herzustellen. Ich kann nur sagen, dass alles erdenkliche getan wird, um die so etwas in Zukunft zu vermeiden und das wir bei Microsoft keineswegs Schadenfreude haben, sondern unser Herz auch mit blutet.
Also frohe Ostern und 2-3 Wochen mal weniger am Rechner im Internet zu hocken, schadet keinem über die Osterferien
P.S.: Meine Passwörter landen schon seit meinem kleinen Passwort Fauxpas jetzt alle in einem hochsicheren Store auf meinem Windows Phone – ich kann mir langsam auch nicht mehr alle merken
P.P.S.: Dank geht u.a. an einen Google Forscher der den Bug im Code gefunden haben – der deutsche Entwickler hat es mit menschlichem Versagen entschuldigt was OK sein kann, aber übliche Backdoors sehen meistens wie menschliches Versagen aus – da bleibe ich jetzt mal neutral in meiner Meinung und vertraue aber trotzdem weiter immer auf das Gute im Menschen oder so rum: Das Gute setzt sich m.E. am Ende immer durch.