FYI.

This story is over 5 years old.

Tor: Wenn du diese Woche sicher sein willst, dann bleib dem Internet fern

Der Bug „Heartbleed“ dringt in die geheimsten Ecken des Netzes vor und enttarnt auch die neusten Verschlüsselungstechniken.
April 9, 2014, 7:12am

Bild: Shutterstock

Wir haben uns längst an die Existenz von Sicherheitslücken im Internet gewöhnt. Meldungen von 18 Millionen geknackten Passworten, wie sie vor einigen Tagen von deutschen Fahndern aufgedeckt wurden, rufen nur allzu häufig nicht viel mehr als ein Schulterzucken hervor. Aber bei dem neuen Bug mit dem Namen „Heartbleed“ solltest du tatsächlich ernsthaft um deine Online-Sicherheit besorgt sein.

Der Bug nutzt eine Lücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL und ermöglicht es jedem, HTTPS-Webseiten auszuspionieren und Zugang zu sensiblen Daten zu bekommen—ohne eine Spur auf dem jeweiligen Server zu hinterlassen. Geklaute Schlüssel und Passwörter könnten auch zur Entschlüsselung von jeglichem vergangenen und zukünftigen Webverkehr genutzt werden.

Der Bug wurde 2012 in der 1.01 Version von OpenSSL eingeführt, was bedeutet, dass er schon zwei Jahre lang VPNs und Anonymisierungsdienste, sowie E-Mails, Instant Massages und Browsing-Aktivitäten offen legt.

Ironischerweise sind die Seiten und Netzbürger, die den größten Risiken ausgesetzt sind, auch diejenigen mit den größten Vorkehrungen zum Schutz ihrer Online-Sicherheit. Es ist ein Großteil der Webseiten betroffen, die das HTTPS Sicherheits-Kommunikations-Protokoll über OpenSSL benutzten und auch die Seiten, die extra dafür entworfen wurden, die Identität des Users zu verbergen wie beispielsweise das Tor-Netzwerk.

Das Tor Projekt schrieb gestern in einem Blog-Post, dass seine Clients, Relais und die sogenannten „Hidden Services“ alle durch den Heartbleed Bug verwundbar sein könnten. Jeder, der Tor benutzt hat, sei es um Drogen auf dem Schwarzmarkt zu kaufen oder sich als Dissident vor den Behörden zu verstecken—dessen Aktivitäten könnten überwacht und entschlüsselt worden sein:

„Wenn du ganz sicher gehen willst, dann solltest du für die gesamte nächste Woche dem Netz fern bleiben bis sich die Sache gelegt hat.“

Der Bug breitet sich weit in die Tiefen des Web aus. Eine kürzlich veröffentlichte Untersuchung von der Internet-Sicherheits-Firma Netcraft zeigte, dass 66 Prozent der Webseiten über Open-Source Webserver wie Apache und Nginx laufen—und diese nutzen in der Regel OpenSSL.

Die Forscher, die Heartbleed entdeckt haben, schrieben gestern, große Verbraucherseiten benutzen oft alte Versionen von OpenSSL, wodurch „ironischerweise, kleinere und fortschrittlichere Dienste oder solche, die auf die letzten und besten Verschlüsselungen upgedated haben, am meisten betroffen sind.“

Alles in allem sind laut Netcraft eine halbe Million Webseiten verwundbar, inklusive Yahoo, FlickR und OK Cupid. Eine lange Liste findest du bei Github.

Einige Werkzeuge und Hinweise machen gerade die Runde, mit denen du angeblich zuverlässig testen kannst welche Webseiten angreifbar für Heartbleed sind (dessen technische Bezeichnung CVE-2014-0160 ist). Von den Silicon Valley-Giganten scheinen Google, Microsoft, Twitter, Facebook und Dropbox sicher zu sein.

Bild: Filipio.io Heartbleed test

„Bedenkt man die lange Existenz, die einfache Datengewinnung und die Angriffe, die keine Spuren hinterlassen, sollte diese Aufdeckung mit allem nötigen Ernst betrachtet werden“, schrieben die Sicherheitsforscher.

Gestern wurde eine neue Version von OpenSSL veröffentlicht und Sicherheitsexperten empfehlen allen Seiten ein sofortiges Update. Für noch mehr Sicherheit raten sie außerdem dazu, alle Passwörter und kryptographischen Schlüssel der letzten zwei Jahre zu erneuern. Wenn dich das allerdings immer noch nicht beruhigt, kannst du ja dem Ratschlag des Tor-Projekts folgen und für eine Weile Web-abstinent bleiben.

Vielleicht bietet dir Heartbleed die langersehnte Chance endlich mal wieder ein Buch zu Ende zu lesen.