Heartbleed

Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.

Damit Lücken wie Heartbleed und Shellshock künftig frühzeitig behoben werden, hat Mozilla einen SOS-Fonds für freie Software ins Leben gerufen. Erste Fehler haben Sicherheitsexperten bereits in PCRE, libjpeg-turbo und phpMyAdmin gefunden.

Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

Der Mitgründer einer Sicherheitsfirma hatte rund 900 iPhones der britischen Versicherung Aviva gelöscht, um sich an seinen ehemaligen Kollegen zu rächen.

Das ISC will den niederländischen Kollegen von NlNet Labs mit seinem Sales-Team unter die Arme greifen. Das schlägt ISC-Chef Jeff Osborn zu der Frage vor, wie freie Software sicher finanziert werden kann.

Jedes Jahr werden auf der Black-Hat-Konferenz mit einer glamourösen Zeremonie die Pwnie Awards verliehen. Dieses Jahr ging der Security-Oscar unter anderem an Heartbleed, Apple, den Hacker Geohot und Mt.Gox-Chef Mark Karpeles.

Die Entwickler des OpenSSL-Forks LibreSSL haben die erste Version ihrer Software veröffentlicht, die andere Plattformen als OpenBSD unterstützt. Damit schickt sich die SSL-Bibliothek an, eine echte Alternative zum Heartbleed-geplagten OpenSSL zu werden.

Nach der Heartbleed-Katastrophe hat das OpenSSL-Projekt nun eine Roadmap veröffentlicht, die helfen soll, organisatorische Mängel im Entwicklungsprozess auszubessern.

Der SSL-GAU ist gut zweieinhalb Monate her und immer noch sind Hunderttausende von Servern verwundbar. Die Patchwelle scheint zum Erliegen gekommen zu sein; das kann fatale Konsequenzen nach sich ziehen.

Der Verursacher der Heartbleed-Lücke hat weiteren Code zum Open-Source-Projekt beigetragen. Und auch der hat offensichtliche Sicherheitslücken.

Seit der vorletzten Version kann der Passwortmanager anzeigen, ob ein Server aktuell gefährdet ist. Das Feature wurde nun sinnvoll erweitert. Zudem gibt's Bugfixes.

Die Core Infrastructure Initiative der Linux Foundation bezahlt zwei Entwicklerstellen für das OpenSSL-Projekt. Auch einige weitere Open-Source-Projekte erhalten Geld.

Ein Proof-of-Concept-Tool zeigt, dass der Heartbleed-Angriff auch im WLAN funktioniert, wenn zur Authentifizierung EAP genutzt wird. Davon sind Access Points und Clients gleichermaßen betroffen.

Fred Trotter von Open Source Health erwartet, dass es in absehbarer Zeit bei digitalen Patientenakten zu größeren Leaks kommt. Bei Sicherheitslücken in Gesundheits-IT-Systemen sei ein dynamisches Reagieren wie bei Heartbleed eher schwer.

IT-Security-Forscher warnen, dass sensible Patienteninformationssysteme nicht selten Sicherheitslücken aufweisen, die spät oder gar nicht gestopft werden. Das könnte bald fatale Folgen haben.

Die Macher des OpenSSL-Forks ziehen nach 30 Tagen Entwicklung eine positive Bilanz. Man habe viel "schrecklichen Code" gesehen, aber auch viele Fortschritte gemacht. Trotzdem gäbe es noch viel zu tun, wenn man einen neuen Heartbleed-GAU verhindern wolle.

Wer einen Server mit einer für Heartbleed anfälligen OpenSSL-Version betrieben hat, muss damit rechnen, dass seine Private Keys kompromittiert wurden. Trotzdem sind diese in den meisten Fällen immer noch im Einsatz.

Heute unter anderem mit: Einem DCF77-Hack, Diamanten gegen Krypto, Fingerabdrücken im Netzwerk, Pawlowschen Hunden, Ende-zu-Ende-Verschlüsselung für Gruppenchats, etwas Herzblut und spiegelnden Glasflächen.

Die Mac-Version des Passwort-Managers informiert Nutzer auf Wunsch darüber, ob sie ein Kennwort auf einer von der Heartbleed-SSL-Schwachstelle betroffenen Seite ändern sollten.