Über Heartbleed hatte ich ja hier bereits berichtet und auch aufgezeigt, wie ihr auf eurem Android-Gerät überprüfen könnt, ob das Gerät betroffen ist oder nicht. Nun gibt’s mal in einer Kurzzusammenfassung weitere Informationen zum Heartbleed Leck, welches man schon fast als „Supergau“ bezeichnen kann. Denn wie gesagt ist es durch die Lücke im SSL Protokoll möglich Anmeldedaten sowie Inhalte von Nachrichten im Klartext zu erlangen.
Bereits gestern berichtete CloudFlare, dass man selbst versucht habe die Lücke auszunutzen, es aber in den letzten 12 Tagen nicht gelungen sei, verschlüsselte Daten über die Sicherheitslücke von Servern zu erlangen. Somit wolle man damit das vermeintliche Risiko bzw. Gerfahr etwas minimieren. Über extra für Heartbleed eingerichtete Seite sollen User versuchen können, SSL-Keys abzugreifen.
Und nun die aktuellste Meldung dazu. Denn nur wenige Stunden später hat es Fedor Indutny geschafft einen privaten SSL-Schlüssel über diese eingerichtete Seite zu erlangen. Somit bleibt’s wie gehabt – ändert eure Passwörter, nutzt die Zwei-Wege-Authentifizierung und vermeidet zumindest auf euren Android-Geräten (vor Allem unter Android 4.1.x) das Online-Banking und Co.
Ebenfalls gestern gab es dann bereits die Nachricht von Bloomberg, dass die NSA den Bug bereits 2 Jahre lang kannte und auch aktiv ausnutzte. Hierzu soll der Fehler als geheim eingestuft worden sein, um selber an Daten zu gelangen. Frechheit wie ich finde, denn nun haben wir mal in etwa ein Zeitfenster, in welchem kriminelle Hacker aber eben auch Geheimndienste über diese Lücke Zugriff erlangen konnten.
