Video: What is the Heartbleed bug? (Dezember 2024)
Die Nachrichten dieser Woche waren von Diskussionen über den Heartbleed-Bug geprägt, mit dem Hacker Daten direkt aus dem Speicher betroffener sicherer Server abrufen können. Die erfassten Daten können Verschlüsselungsschlüssel, Kennwörter und alle Daten enthalten, die über einen vermeintlich sicheren HTTPS-Kanal gesendet werden. Der Bug ist seit über zwei Jahren vorhanden und da der Angriff keine Spur hinterlässt, wissen wir nicht, wie viel davon ausgenutzt wurde.
Wer ist verwundbar?
Die Kennwortassistenten von LastPass haben dem Sicherheitsprüfungsbericht des Produkts einen neuen Faltenwurf hinzugefügt. Zusätzlich zum Markieren von schwachen und doppelten Passwörtern werden jetzt alle von Ihnen gespeicherten Websites aufgelistet, die für Heartbleed anfällig sind oder waren. Ich habe eine Reihe von LastPass-Nutzern gebeten, mir die Ergebnisse dieses Berichts zu senden, um ein Gefühl dafür zu bekommen, was da draußen ist.
Ich habe über 200 Passwörter in LastPass gespeichert. Nur sechs von ihnen wurden als anfällig gemeldet, und zwei waren bereits gepatcht worden. Als ich die Ergebnisse meiner Kollegen hinzufügte, sah ich 50 verwundbare Sites, von denen 30 immer noch nicht gepatcht waren.
Im LastPass-Bericht wird empfohlen, das Kennwort für Sites zu ändern, die zur Behebung des Fehlers gepatcht wurden. Für die anderen empfiehlt es sich, zu warten, bis die Site ein Update ankündigt, da Ihr brandneues Passwort immer noch anfällig ist. Für mich selbst würde ich vorschlagen, Heartbleed als Weckruf zu verwenden, um alle Ihre Passwörter zu ändern und sicherzustellen, dass alle stark sind und keine zwei Sites dasselbe Passwort verwenden. Sie müssen die Kennwörter für noch immer gefährdete Websites erneut ändern, nachdem sie repariert wurden. Durch Ändern aller Kennwörter wird jedoch das Risiko einer Gefährdung minimiert.
Top Geschäfte
Für eine andere Ansicht habe ich Alexas 20 beliebtesten Einkaufsseiten ausgewählt und sie durch ein paar Online-Tests geführt. Der Forscher Filippo Valsorda erstellte einen Test, kurz nachdem die Heartbleed-News veröffentlicht worden waren. LastPass veranstaltet auch einen On-Demand-Test
Ich fand Valsordas Testergebnisse etwas verwirrend. Der Test gab für fünf der 20 Sites, die ich ausprobiert habe, eine Fehlermeldung wie "broken pipe" oder "i / o timeout" zurück. Neun Standorte erhielten ein sauberes Gesundheitszeugnis, da der Test angab, dass sie "repariert oder nicht betroffen" waren. Die restlichen sechs haben eine Fehlermeldung zurückgegeben, da die Verbindung an ein Content Delivery-Netzwerk übergeben wurde und das Zertifikat des CDN nicht mit der von mir eingegebenen Domain übereinstimmt. Wenn Sie das Kontrollkästchen zum Ignorieren von Zertifikaten aktivieren, wird für alle ein "festes oder nicht betroffenes" Ergebnis angezeigt. Auf der Testseite wird jedoch gewarnt, dass dies möglicherweise ein falsches Ergebnis ist.
Auf der von LastPass bereitgestellten Testseite finden Sie viele weitere Informationen. Zehn der Websites wurden als möglicherweise unsicher gemeldet. Dies bedeutet, dass der Test nicht feststellen konnte, ob die Site OpenSSL verwendet, die vom Heartbleed-Fehler betroffene Kryptobibliothek. Vier der Sites waren wahrscheinlich anfällig, da sie OpenSSL verwenden, und zwei davon sind jetzt sicher. Vier andere Websites waren definitiv nicht anfällig, und eine, die definitiv anfällig war, ist jetzt sicher. Damit bleibt nur eine Site übrig, die aufgrund eines Verbindungsfehlers nicht analysiert werden konnte.
Der LastPass Heartbleed-Tester meldet auch, wie kürzlich das SSL-Zertifikat jeder Site geändert wurde. Ein Zertifikat, das kurz nach der Veröffentlichung von Heartbleed geändert wurde, ist ein ziemlich guter Hinweis darauf, dass die Website betroffen war, aber jetzt sicher ist.
Wie bei allen Sites, deren Status unklar ist, ist es am besten, auf eine Ankündigung von der Site selbst zu warten. Seien Sie jedoch vorsichtig. Klicken Sie nicht auf einen Link zum Zurücksetzen des Passworts, den Sie in einer E-Mail erhalten, da es sich bei einigen um Betrug handelt. Navigieren Sie direkt zur Site, ändern Sie Ihr Passwort und stellen Sie sicher, dass Ihr Passwort-Manager die Änderung aufnimmt.
Bleiben Sie auf dem Laufenden, was PCMag über den Heartbleed-Bug berichtet.
