Das Internet Storm Centre (ISC) des SANS Institute hat am Samstag in Australien vor übereilten Maßnahmen gegen Heartbleed gewarnt. Ein Heimanwender, der übereilt versuche, Patches einzuspielen, drohe, auf Betrüger hereinzufallen. Stattdessen sei ein durchdachtes, strukturiertes Vorgehen ratsam, sagte ISC Chief Technology Officer Johannes Ullrich.
„Die wichtigste Nachricht [für Heimanwender] ist: ‚Spiel keinen Patch auf.‘ Das klingt der Intuition widersprechend, und vielleicht haben einige Leute sogar eine Software im Einsatz, die OpenSSL nutzt“, erklärte Ullrich. Aber die Gefahr, infolge der Medienberichterstattung auf einen Phishing-Versuch hereinzufallen, sei größer als die von der installierten Software ausgehende.
„Es ist unwahrscheinlich, dass ein durchschnittlicher Anwender OpenSSL einsetzt. Sie betreiben auf Ihrem Windows-PC wahrscheinlich keinen Webserver.“ Die größte Gefahr bestehe wie mehrfach berichtet bei Android, das als einziges weit verbreitetes Betriebssystem standardmäßig OpenSSL einsetze. Apples OS X verwende OpenSSL 0.9.8 – also noch nicht die für Heartbleed anfällige Version. In Windows komme OpenSSL gar nicht zum Einsatz, auch wenn es ein Risiko durch Anwendungen mit OpenSSL-Code geben könne.
Zweitens: Ein Passwort-Wechsel sei „wahrscheinlich eine gute Idee“, sagt Ullrich. „Selbst wenn es nicht durchgesickert ist, kann man dabei höchstwahrscheinlich nichts kaputt machen.“ Allerdings sei ein bedächtiges Vorgehen mit komplexen, für jede Site unterschiedlichen Passwörtern anzuraten. Sinnvoll sei die Installation eines Passwort-Managers. „Wenn Sie sich alle Passwörter merken müssen und das auch noch schaffen, sind Ihre Passwörter zu schwach.“
„Anfangs galt die meiste Konzentration Servern, und Server sind definitiv dem größten Risiko ausgesetzt – nicht nur Webserver, sondern Mailserver und viele andere nützliche Dinge. Alles, was eine angreifbare Version von OpenSSL nutzt, ist anfällig, egal ob Client oder Server“, fasst Ullrich zusammen.
SANS ISC hat auch Leitfäden für Gespräche mit Kindern oder Verantwortlichen in Firmen veröffentlicht. Es lobt den über Soziale Netze letzte Woche weithin verbreiteten Cartoon von xkcd, der in sechs Bildern erklärt, wie Heartbleed funktioniert, und führt eine ständig aktualisierte Liste anfälliger Client-Anwendungen.
[mit Material von Stilgherrian, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…