Grosse Sicherheitslücke mit Heartbleed Bug seit 3 Jahren noch immer vorhanden
• 24.01.17 Nachdem viele Internet-Dienste den "Heartbleed Bug" durch den Austausch einer neuen Version der Software Openssl geschlossen haben, gibt es aber vor allem bei vielen kleineren Online-Diensten noch Handlungsbedarf, stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest. Dieses hatte das Bundesamt schon vor 3 Jahren festgestellt. Erstaunlich ist
|
Heartbleed Bug feiert 3.jährigen Geburtstag
Erstaunlich ist der aktuelle Scan von Shodan-Chef John Matherly im Internet, der noch mehr als 200.000 verwundbare Systeme im Internet ausmacht. Dabei ist dieses, wie immer, nur die Spitze eines Eisberges, denn nicht alle Systeme sind rund um die Uhr Online oder können über das Internet angesprochen werden. Die meisten Systeme nutzen dabei eine alte Verschlüsselung beim HTTPS Protokoll.
Cyberhacker nutzen Sicherheitslücken Abbildung: (Pixabay License)/ pixabay.com |
Der Heartbleed Bug wird aufgrund einer Sicherheitslücke in der Programmerweiterung der Open-SSL-Bibliothek ausgelöst. Öffentlich bekannt wurde die Sicherheitslücke am 7. April 2014. Der Fehler konnte dann auch leicht durch den Austausch der Software-Bibliothek beseitigt werden.
Inzwischen haben viele Betreiber von betroffenen IT-Systemen, insbesondere von Webservern, die Schwachstelle durch das Sicherheitsupdate geschlossen und die Zertifikate erneuert, so das Bundesamt. Allerdings gibt es laut dem BSI derzeit noch viele Internet-Seiten, zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen, welche für den "Heartbleed"-Angriffe verwundbar sind. Solche Webseiten werden oftmals ohne professionellen Update-Prozeß betrieben.
Dies ist daher kritisch, da das BSI weiterhin großflächige Scans nach für "Heartbleed" verwundbaren Servern registriert. Aktuellen Beobachtungen zufolge werden inzwischen vor allem auch verwundbare E-Mail-Server gesucht. Da sich die Aktualisierungsaufwände bei vielen Betreibern bisher auf die Webserver konzentrierten, sind bei den Angreifern jetzt andere Systeme, die Openssl einsetzen, im Fokus.
Das Bundesamt empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt auch für Sicherheitskomponenten, die OpenSSL einsetzen, wie zum Beispiel Firewalls. Betreiber von Webservices können mit der Analyse-Software OpenVAS prüfen, ob ihre Anwendung vom "Heartbleed Bug" betroffen ist.
Die "Heartbleed"-Schwachstelle ist für großflächige, ungezielte Angriffe geeignet. Der Software-Fehler "Heartbleed" kann aber nicht genutzt werden, um gezielt das Passwort eines gewünschten Benutzers auslesen. Jedoch ist es leicht möglich, Passwörter der Nutzer, die aktuell in einem von der Schwachstelle betroffenen Dienst eingeloggt sind, auszulesen.
Sollten Sie nun die Sicherheit bei ihrem Smartphones und PCs verbessern wollen, erhalten bei uns auch eine grosse Übersicht an Anti-Viren Programme, sowie die Software von den Anbietern Bitdefender, Anbieter G Data und die Software von Kaspersky Damit Ihnen in Zukunft keine aktuellen Nachrichten oder Spar-Angebote entgehen, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie via Twitter und Facebook informiert.
Verwandte Nachrichten: |
|
Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten |
|