EDV brandaktuell – VORSICHT: „OpenSSL“ „Heartbleed“ „Bug“ :-( – Alert!

Brandaktuell: eine schwere Sicherheitslücke wurde nun veröffentlicht, die ein weitverbreitetes Programm betrifft,
das auf vielen tausenden Servern (Dienstleistungsrechnern) zur gesicherten Übertragung von verschlüsselten Daten zwischen Webseiten verwendet wird: „OpenSSL“, genannt „Heartbleed“-„Bug“!

Artikel auf Deutsch und Originalseite auf Englisch!

„Heartbleed“ ermöglicht es, auf den Hauptspeicher des jeweiligen Systems zuzugreifen und heikle Userdaten wie etwa Passwörter auszuspähen. Auch Österreich ist von der Lücke massiv betroffen. Das Ausmaß ist derzeit nicht abschätzbar! Ein bekannter Sicherheitsexperte spricht von einem „katastrophalen Fehler“, der noch dazu bereits seit rund zwei Jahren besteht!!!

Letzteres ist verdächtig: Hat jemand diese Schwachstelle absichtlich in den Programmcode eingefügt?
Hier könnte es sich um eine unglaubliche Verschwörungspraxis handeln!!
Allerdings ist auch ein „blöder“ Programmierfehler ohne Hintergedanken denkbar.
Warum er jedoch so lange (offiziell) unbemerkt geblieben ist, u.a. beim Austesten des Programmcodes und der Fehlerfindungsphase vor der Veröffentlichung, ist mir ein Rätsel!!

Für mich als langjährigen Systemadministrator ist dies jedenfalls ein erschütternder Vorfall:
Er passierte in einem „Open-Source“-Programm, also nicht in einem der großen Konzerne!!
Ungefähr 500.000 (!) weithin als vertrauenswürdig geltende Webseiten (Webserver) dürften von dieser schweren Schwachstelle betroffen sein und sind damit angreifbar!!

SSL-Gutachten haben herausgefunden, dass dies rund 17,5% aller Webseiten sind, die SSL zur Verschlüsselung verwenden, nämlich diejenigen, die die „Heartbeat“-Erweiterung nutzen!

Bis die meisten Administratoren die neueste, sichere Version von „OpenSSL“ installiert haben, wird noch einige Zeit vergehen. Es müssen erst alle davon erfahren bzw. sich der Tragweite bewusst sein! Es geht um das Klauen von Passwörtern UND Schlüsseln, was nicht nur PCs betrifft, sondern auch Smartphones, SmartTVs, Router und viele andere Geräte!

Vor allem: ein simples Update (auf die neueste OpenSSL-Version), die Gott sei Dank vielfach bereits automatisch erfolgt, reicht nicht: Nach der OpenSSL-Lücke müssen Serverbetreiber Zertifikate austauschen.

Dieser April (mit der totalen Mondfinsternis am 15.) hat es also jetzt schon in sich,
siehe diese ausführliche astrologische Analyse!

Nach so viel Computer-„Chinesisch“ „muss“ ich dir trotzdem noch etwas mitteilen, weil es die von dir verwendete Blogsoftware „WordPress“ betrifft: Hier wurden soeben mehrere Sicherheitslücken geschlossen!
Eine davon wurde als wichtig eingeschätzt und erlaubt(e) das Umgehen der Anmeldung, war also eine Authentifizierungslücke!

Daher sollten Administratoren möglichst schnell das Update auf Version 3.8.2 bzw. 3.7.2 durchführen!
Für dich ist es wichtig, nun nachzufragen, ob dies auf „deinem“ Server bereits erfolgt ist!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Danke Günther für diese Zusammenstellung, sowie Hilfestellung. In der letzten Zeit gab es viele Angriffe! Ob dieser „bug“ nun beabsichtigter Weise unbeachtet blieb, wäre noch ein interessanter Punkt zu klären.

Obwohl sich die Frage fast von selber beantwortet, wenn man noch mehr Fragen stellt…

Wer kann schon Interesse daran haben, einen Fehler stehen zu lassen, der bereits erkannt wurde? Nur jemand, der absichtlich Schaden anrichten will!

Wozu, ist die zweite Frage, lässt man einen schweren erkannten Softwarefehler weiterlaufen, bzw. was bezweckt man damit? Weil man eben damit Schaden anrichten will (Dienstleistungsrechner) und weil er genau dafür auch geschaffen wurde! Weil man all jene Webseiten kaputt machen will, die gewissen Typen ein Dorn im Auge sind – gebe ich dazu noch als Antwort!

Die dritte Frage (beinhaltet auch die Fragen ein uns zwei sowie deren Antworten) ist, woher kommt dieser Angriff, mit dem bezeichnenden Namen Heartbleed – Herzbluten? Vielleicht von Microsoft oder einem anderen großen wie Apple oder durch Beauftragung an eine Firma. Der Name kommt offenbar nicht von ungefähr!!! Die Herzen sollen bluten! Jeder der an seiner WebSeite jahrelang gearbeitet hat, hängt letztlich auch mit seinem Herzen daran. Das ist wirklich böse, was da abgeht!
Ich kenne jemanden, der in den letzten Monten seine komplette Seite auf diese Weise verloren hat, das ist ein großer Verlust und das Herz blutet dabei 😦

Herr Heinemanns Webseite – „Natürliche Person“ – wurde vernichtet!

Mit den LoginDaten kann man letztlich auf alles zugreifen und stehlen, wenn es was zu stehlen gibt, kontrollieren, wo man denkt es wäre interessant (Armutszeugnis ;-)) und natürlich auch ganze Webseiten löschen – hm 😦

Gab es nicht vor einiger Zeit einige Meldung, dass man das gesamte Internet lahm legen möchte? Anonymous möchte das gesamte Internet lahmlegen. Vielleicht hat man sch das überlegt, den es würde der gesamte Kommerz zusammenbrechen, die Börse, der Geldhandel, der Welthandel natürlich auch die Kontrolle, an der diese Typen sich festkrallen, weil ihnen die Liebe fehlt. Haben sie vielleicht festgestellt, das bei einem Komplettboykott des Internetzes, auch ihre Interessen komplett den Bach runter laufen würden – lol??? Wollten Sie nur die Kontrolle ausbauen und selektiven Schaden dort anrichten, wo es ihnen grad passt???

Genug der Überlegungen – wir können nur hoffen, dass die IT-Manager, Systemadministratoren, Programmierer etc. die Sache im Griff haben und noch mehr Aufmerksamkeit walten lassen!

AnNijaTbé am 10.4.2104

Hinterlasse einen Kommentar

Es werden nur Kommentare freigeschaltet, die sich auf diesen/obigen Artikel beziehen, klare Aussagekraft haben, bzw. sinnvoll oder hilfreich für ALLE sind!

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d Bloggern gefällt das: