Heartbleed verhindern

Die schlimmste aller Sicherheitslücken ist Heartbleed.
Bruce Schneier, der als bedeutendster Experte für Kryptographie und Computersicherheit gilt, hat von einem katastrophalen Fehler gesprochen: „Auf einer Skala von 1 bis 10 ist das eine 11“.
Der Name des Fehlers bezieht sich auf die fehlerbehaftete Erweiterung Heartbeat. Der Herzschlag soll prüfen, ob eine Verbindung besteht. Auf eine fehlerhafte Anfrage verhält sich die Erweiterung geschwätzig und gibt Daten aus dem Arbeitsspeicher des betroffenen Rechners preis.
Ein Fehler in der Verschlüsselung ermöglicht unter anderem das Abfischen von Passworten. Die fehlerhafte Datei ist OpenSource und kann sich auch auf Routern und NAS befinden. Dadurch können Cyberkriminelle Zugriff auf Dienste erhalten, die vom Router oder NAS angeboten werden. Die Gefahr ist nicht akademisch, sondern sehr real.

Was sollte man tun?
Wenn man seinen Router eingerichtet hat, dass er aus dem Internet für Dienste wie Fernwartung oder als Internetfestplatte erreichbar ist oder wenn man das nicht genau weiß, sollte man unbedingt einen Test auf Heartbleed durchführen.
  1. Eigene IP-Adresse feststellen
    Die Seite IP-Check zeigt die eigene Adresse an: ip-check.info/?lang=de
  2. Die Adresse gibt man auf der Seite „Heartbleed OpenSSL extension testing tool“ ein: possible.lv/tools/hb/
Sollte nach einem Test klar sein, dass der eigene Router oder das NAS betroffen ist, bitte unbedingt die Firmware über die Seite des Herstellers aktualisieren. Sollte keine Firmware angeboten werden, die die Heartbleed-Lücke schließt, muss zur Sicherheit der externe Zugang zum Router oder des NAS deaktiviert werden.

Administratoren stehen in besonderer Verantwortung
Vom Heartbleed-Bug sind ein Reigen von Routern und NAS betroffen. Davon ist auch das Router-Betriebssystem DD-WRT nicht ausgenommen, das an Berliner Schulen gerne verwendet wird, weil man auf handelüblichen Routern den RADIUS-Server des logoDIDACT-Servers für WLAN-Zugänge verwenden kann. Selbst die als sonst sicher geltenden AirPort Extreme und Time Capsule von Apple sind betroffen. Dafür gibt es die Firmware 7.7.3, die eingespielt werden sollte. Fritz!Boxen sind von Heartbleed nicht betroffen, da sie die fehlerhaften OpenSSL-Versionen, 1.0.1 bis 1.0.1f, nicht verwendet werden.

Linkliste
Info des Tagesspiegel zu Heartbleed
www.tagesspiegel.de/medien/sicherheitsluecke-wie-gefaehrlich-ist-heartbleed/9754110.html

IP-Check
http://ip-check.info/?lang=de

Heartbleed-Test
http://possible.lv/tools/hb/

DD-WRT
http://dd-wrt.de