Informationen zu Heartbleed

Heartbleed ist der Kosename für eine Sicherheitslücke, die am 7. April 2014 entdeckt wurde. Zunächst einmal betrifft die Sicherheitslücke nur Server, so dass der Eindruck entstehen könnte, dass sich ein normaler Benutzer nicht darum kümmern muss. Warum das Problem letztlich tiefgreifender ist und auch normale Benutzer alle (!) Passwörter ändern müssen und wann sie das tun sollten, versuche ich hier mal zusammenzufassen.

Worum geht es?

Ein Fehler in einer Verschlüsselungssoftware macht es möglich, dass ein Angreifer auf die Inhalte des PCs zugreifen kann. Vordergründig nur in kleinen Mengen, dafür aber unerkannt und beliebig oft. Unter diesen Inhalten können Benutzernamen, Emails, Passwörter und Passworthinweise sein. Schlimmer noch: nicht nur die Passwörter der Benutzer, sondern auch die Passwörter der Administratoren. Erfährt der Angreifer ein solches Administrator-Passwort, hat er wahrscheinlich Zugriff auf alles: Datenbanken, Email-Postfächer, usw.

Muss ich meine Passwörter ändern?

Ja, aber keinesfalls sofort. Das Problem: die Server-Betreiber müssen zunächst die neueste Version der Software einspielen. Ansonsten kann der Angreifer einfach nochmal angreifen und das geänderte Passwort wieder lesen. Warten Sie also auf die Emails der Serverbetreiber und ändern Sie das Passwort erst dann.

Vorsicht vor Spam und Phishing

Es könnte sein, dass Spammer die Gelegenheit nutzen, um Emails mit dem Betreff Heartbleed sowie Aufforderungen zur Änderung von Passwörtern verschicken. Prüfen Sie die eingehenden Emails daher sehr genau. Stimmt der Absender? Handelt es sich um gute Links? Verwenden Sie lieber einen Link in Ihren Favoriten anstelle eines Links aus einer Email. Lassen Sie sich falls möglich, die Link Adresse anzeigen. Falls Sie unsicher sind, lassen Sie sich lieber helfen.

Warum sind alle Passwörter betroffen?

Es sind potenziell alle Passwörter betroffen, die Sie im Internet verwenden. Passwörter, die Sie nur daheim verwenden (z.B. für die Anmeldung an Windows) sind nicht betroffen, solange Sie das Passwort nicht irgendwann per Email o.ä. verschickt haben. Welche Online-Passwörter genau betroffen sind, kann man leider nicht ermitteln. Mit Sicherheit kann man aber sagen, dass mehr Passwörter betroffen sind, als auf den ersten Blick ersichtlich.

Warum? Angenommen es gibt folgendes Szenario: ein Angreifer erfährt das Passwort Ihres Email-Postfachs. Jetzt kann er alle Emails lesen. Somit erfährt der Anfreifer, welche anderen Online-Seiten von Ihnen benutzt werden, zum Beispiel Facebook. Der Angreifer geht jetzt auf die Facebook-Seite und klickt auf „Passwort vergessen“. Facebook schickt eine Bestätigungs-Email zum Ändern des Passworts. Da der Angreifer ja bereits Zugriff auf die Emails hat, kann er den Link anklicken und ein neues Passwort wählen. Daher müssen Sie auch das Facebook Passwort ändern (aber bitte erst, wenn Sie sicher sind, dass Facebook selbst nicht betroffen ist).

Sinngemäß funktioniert das nicht nur mit Facebook sondern mit allen Webseiten, bei denen man sich anmelden muss. Daher muss man zwangsläufig all seine Online-Passwörter ändern.

Es gibt noch weitere Szenarien, die zum gleichen Ergebnis kommen:

  • Mehrfache Verwendung des gleichen Passworts auf unterschiedlichen Webseiten. Der Angreifer muss das gleiche Passwort nur ausprobieren.
  • In den Emails, die der Angreifer lesen konnte, stehen vielleicht andere Passwörter (ja, Leute verschicken Emails mit Passwörtern).
  • Über die Emails kann der Angreifer realistische, harmlos aussehende Emails in Ihrem Namen verschicken und andere Personen im Adressbuch (Freund/Freundin, Ehemann/Ehefrau, …) nach dem Passwort fragen. Diese Art des Angriffs nennt sich Social Engineering.

Welche Webseiten sind betroffen (gewesen)?

Leider sehr viele. Die aus meiner Sicht bekanntesten: Yahoo, Web.de, ZDF, TAZ, Hypovereinsbank, Sparkasse, Ebay Afterbuy, Rapidshare, Flickr, Das Telefonbuch, Gelbe Seiten, Vodaphone, Leo.org, Kaspersky, µTorrent, bitTorrent, StackOverflow / StackExchange, Berlin.de, If this then than (Ifttt), Downloads.com, Premiere Frankreich, PHPBB, …

Wie man sieht, betrifft die Sicherheitslücke auch viele große Unternehmen. Und diese Liste stammt leider erst vom 8. April, was bedeutet, dass es zwischen dem 7. April und 8. April noch deutlich mehr betroffene Webseiten gegeben haben kann.

Sind Server von WelliSolutions betroffen?

Nein. WelliSolutions setzt eine ältere Version der Verschlüsselungssoftware ein, die den Fehler nicht enthalten. Die alte Version ist nicht schlecht, nur weil sie alt ist. Vielmehr brauchen Server von WelliSolutions die Fähigkeiten (Features) der neuen Version nicht. Technische Details: WelliSolutions verwendet OpenSSL 0.9.8k 25 Mar 2009

CDs retten mit h2cdimage

Ein besonderes Tool um CDs oder DVDs zu retten ist das kostenlose Programm h2cdimage. Die Besonderheit dabei ist, dass das Programm darauf ausgelegt ist, die defekte (z.B. zerkratzte) CD/DVD auf mehreren Laufwerken zu lesen und die Informationen dann zusammenzufassen, um möglichst viele Daten retten zu können.

Die Bedienung ist jedoch nicht ganz einfach, denn abgesehen davon, dass es sich um ein Programm für die Kommandozeile handelt, benötigt man für das Retten einer CD/DVD drei Angaben, nämlich den Adapter, das Target und die LUN.

Mit Windows 7 lassen sich diese Angaben ermitteln, wenngleich nicht direkt als Zuordnung zum Laufwerksbuchstaben. Im Explorer öffnet man das Kontextmenü des CD/DVD-Laufwerks und wählt Eigenschaften. Dann wechselt man auf das Tab „Hardware“. Hier sind alle Laufwerke aufgelistet. Leider wird automatisch der erste Eintrag in der Liste ausgewählt und nicht der zum Laufwerksbuchstaben gehörende Eintrag.

Im Bereich „Geräteeigenschaften“ werden unter „Ort“ die erforderlichen Angaben aufgelistet. Channel ist dabei gleichbedeutend zu Adapter. Mit diesen Angaben lässt sich h2cdimage starten und die Daten der defekten CD oder DVD hoffentlich wieder vollständig rekonstruieren.

Hat Ihnen diese Seite geholfen, Daten einer CD oder DVD zu retten? Falls ja, spenden Sie doch einen Betrag an mich, der mich motiviert, auch zukünftig Informationen dieser Art bereitzustellen. Vielen Dank!

Brauchen Sie weitere Hilfe bei der Rettung von Daten auf CDs oder Festplatte? WelliSolutions rettet Ihre Daten – speziell abends oder am Wochenende sind wir gern für Sie da, wenn Sie von der Arbeit heimkommen und andere Firmen nicht mehr zur Verfügung stehen. Rufen Sie an unter 07725/915646. Schwarzwald-Baar-Kreis und Rottweil gehören zu unserem typischen Einzugsgebiet.

 

Unsicher: Passwörter speichern mit KeePass

Situation

Passwörter gibt es heute fast überall, beinahe jede Webseite benötigt einen Login. Wir bei WelliSolutions verwenden KeePass, um Passwörter zu verwalten. Die Passwörter werden verschlüsselt abgelegt. Um die verschlüsselten Passwörter zu lesen benötigt man wieder ein Passwort – aber eben nur noch ein Passwort, um Zugriff auf alle Passwörter zu erlangen.

Außerdem bietet KeePass auch Schutz vor anderen Angriffen auf Passwörter, wie auf der KeePass Homepage (rev. 2009-11-08) zu lesen ist: „All security features in KeePass protect against generic threats like keyloggers, clipboard monitors, password control monitors, etc. “

Problem

Ein kleines Programm zeigt, dass dem nicht so ist. Innerhalb einer halben Stunde konnten wir ein Programm schreiben, welches nur darauf wartet, dass KeePass einen Text (typischerweise einen Benutzernamen oder Passwort) in die Zwischenablage kopiert.

Lösung

Das Problem wurde dem Autor der Software, Dominik Reichl, mitgeteilt. Er hat das Problem bestätigt, sieht aber leider keine Verbesserungsmöglichkeiten. Inzwischen wurde die Angabe zur Sicherheit ergänzt um den Zusatz „However in all the questions above we’re assuming that there’s a spyware program running on the system that’s specialized on attacking KeePass.“

Für WelliSolutions stellt sich die Frage, wie viele unterschiedliche Passwort-Verwaltungssysteme es gibt und ob es zu schwierig wäre, spezielle Attacken für alle zu implementieren.

Links

KeePass Password Safe Homepage (rev. 2011-02-18)

Firefox das Suchen abgewöhnen

Situation

Beim Eingeben einer nicht existierenden URL in Firefox erscheint anstelle einer DNS Fehlermeldung die Yahoo Webseite, welcher die URL als Suchbegriff übergeben wird.

Problem

Das Übermitteln der URL an den Suchmaschinenanbieter gibt persönliche Daten preis. Nicht nur bei internen Adressen (Intranet, lokaler Webserver), sondern auch bei externen Webseiten muss Yahoo nicht darüber informiert werden, was der Benutzer gerade ansurft.

Lösung

Die Yahoo-Suche versteckt sich hinter dem „Search Settings Plugin“, zu welchem in der Beschreibung steht, dass es die persönlichen Sucheinstellungen schützt. Das Deaktivieren oder Deinstallieren des Plugins bringt die ungefährliche DNS Fehlermeldung zurück.

PDF Passwörter

Situation

Hat man ein PDF Dokument mit einem Passwort geschützt, kann man diverse Operationen einschränken. Beispielsweise lassen sich die Seiten nicht mehr drucken, keine Anmerkungen erstellen und nicht mehr weiter bearbeiten.

Problem

Vergisst man das Passwort, kann man natürlich auch als Ersteller des PDFs jenes nicht mehr bearbeiten.

Lösung

Es gibt eine Vielzahl von Programmen, die das Passwort des PDFs entfernen können. Die Preise dafür sind moderat (30 €), woraus ich schließe, dass das Entfernen ein Prozess ist, der nicht sonderlich kompliziert ist. Will man hingegen das Passwort herausfinden, sind schon einige Stunden Rechenzeit erforderlich. Diese Sorte Programm ist deutlich teurer, es kommen schnell 100 € zusammen.

Es geht jedoch auch kostenlos, wenngleich nicht so komfortabel wie bei den kostenpflichtigen Programmen. Zunächst lädt man Ghostscript herunter und installiert das Programm. Ghostscript bringt die erforderlichen Funktionen zum Bearbeiten von PDF-Dateien, hat selbst jedoch keine grafische Oberfläche. Die bringt dann Free PDF. Startet man Free PDF, wählt man im Menü Bearbeiten den Punkt „PDF Dateien vereinen“. In der folgenden Maske wählt man dann die passwortgeschützte Datei aus – und vereint sie mit nichts. Das Ergebnis ist eine Kopie der PDF-Datei jedoch ohne Passwort.

Harte Kerle verwenden Ghostscript natürlich direkt, z.B. mit
gswin32.exe -dNOPAUSE -dSAFER -sOutputFile=C:\out.pdf -sDEVICE=pdfwrite c:\in.pdf

Links

Ghostscript (rev. 2009-10-03)
Free PDF (rev. 2009-10-03)