Heartbleed - ein «katastrophales» Loch

Dies schreibt Schneier in seinem aktuellen Blog. «Katastrophal ist das richtige Wort», meint er in Bezug auf die Schwere der Heartbleed getauften Lcke in OpenSSL. «Auf einer Skala von 1 bis 10 ist dies eine 11», bewertet Schneier. Dem IT-Security-Guru zufolge kann ein Angreifer dank der Lücke 64 Kilobyte Memory eines Servers auslesen, und zwar so oft er will und ohne eine Spur zu hinterlassen. «Das heisst, dass alles im Speicher - private SSL-Schlüssel, Anwender-Schlüssel, alles - verletzlich ist», führt er weiter aus. Geheimdienste haben die Schlüssel Schneier geht zudem davon aus, dass es ziemlich wahrscheinlich ist, dass «mehrere Geheimdienste» die privaten Schlüssel der angegriffenen Ziele extrahiert haben. «Die Frage stellt sich, ob jemand diesen Bug mit Absicht in OpenSSL geschleust hat und nun zwei Jahre lang uneingeschränkten Zugang auf alles hatte», schreibt Schneier weiter. Hier können Sie Seiten testen Die Verbreitung des Bugs ist übrigens enorm. Gut eine Million Sites ist nach neusten Angaben weltweit betroffen. In der Schweiz sind dies übrigens unter anderen die Webauftritte des Tages-Anzeiger und von Bluewin, wie man mit folgender Test-Seite ermitteln kann. Inzwischen hat auch die Melde- und Analysestelle Informationssicherung (Melani) des Bundes reagiert und offiziell Empfehlungen herausgegeben, und zwar sowohl für Provider, als auch für Endanwender.