Die Royal Canadian Mounted Police (RCMP) hat nach einem Bericht von theglobeandmail.com den 19-jährigen Arthuro Solis-Reyes aus Ontario am Dienstag wegen Datendiebstahl bei der kanadischen Steuerbehörde CRA verhaftet. Laut einer Stellungnahme vom Mittwoch nutzte der Sohn eines Informatik-Professors dafür die Heartbleed-Lücke in OpenSSL. Angeblich hat er Sozialversicherungsnummern von 900 Steuerzahlern erbeutet.
Die kanadische Steuerbehörde hatte nach Bekanntwerden der SSL-Lücke die Server zwar einen Tag später vom Netz genommen, doch war dies offenbar zu spät. Wann genau der Diebstahl stattfand, wollten die Ermittler nicht mitteilen. Da Datendiebstahl über die als Heartbleed bekannte Schwachstelle CVE-2014-0160 in OpenSSL keine Spuren hinterlässt, vermuten Sicherheitsexperten, dass womöglich eine auf Sicherheit spezialisierte IT-Abteilungen der Regierung den Zugriff festgestellt hat.
Der verdächtige Stephen Arthuro Solis-Reyes studiert im zweiten Jahr an der University of Western Ontario, an der sein Vater Informatik lehrt. Zuvor war er Mitglied eines Schulteams, das einen Programmierwettbewerb gewonnen hat. Er ist auch Entwickler einer Blackberry-App für Sudoko-Räsel. Seine Verhandlung ist für den 17. Juli angesetzt. Ihm drohen bis zu zehn Jahre Haft.
Der Heartbleed-Bug ermöglicht Angreifern, auf Teile der eigentlich verschlüsselten Kommunikation zwischen Rechner und Server zuzugreifen. Mit den Daten im Speicher könnten sie kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen. Sie könnten auch Nutzernamen und Passwörter von Usern auslesen. Die betroffene Verschlüsselungssoftware OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Daten wie Passwörter zu verschlüsseln. Der Fehler wurde von der Sicherheitsfirma Codenomicon zusammen mit Google-Forscher Neel Mehta entdeckt.
Nutzer betroffener Server sollten umgehend die Zugangsdaten ändern und diesen Schritt wiederholen, sobald die Serverbetreiber neue Zertifikate eingespielt haben. Die großen deutschen E-Mail-Provider haben den Heartbleed-Bug inzwischen behoben und auch die Zertifikate erneuert.
Andere Server wie Online-Shops können natürlich auch von dem Heartbleed-Bug betroffen sein. Da nur die wenigsten Webseiten-Betreiber Informationen über die Schwachstelle kommunizieren, bleibt Nutzern nur die Möglichkeit, sich mit Online-Tools über den Status eines Servers zu informieren. Hierfür sind folgende Dienste geeignet:
filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…
Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…
Die App satellite wird künftig Telefongespräche in Echtzeit datenschutzkonform mit Hilfe von KI zusammenfassen.
Als Erweiterung von Master-Data-Management ermöglicht es die Lösung, den Werdegang von Daten verstehen und sie…
Sie erlauben unter anderem das Einschleusen von Schadcode. In älteren iPhones und iPads mit OS-Version…
Neuer Speicher für KI von Huawei mit integrierter Ransomware-Erkennungs-Engine und deutlich geringerem Energiekonsum.
