14.052014

Heartbleed Bug ist noch immer ein Problem

Der Heartbleed Bug ist allgegenwärtig in der letzten Zeit und hat auch so einige Spuren hinterlassen. Das Problem wurde behoben, aber der Rattenschwanz, der mit sich kam ist immernoch nicht abgefertigt.

Mittlerweile sollten ja alle Systemadministratoren den Bug bei betroffenen Stellen behoben haben, aber ist das alles? Nein! Es ist bekannt geworden, dass  natürlich durch das aktive Ausnutzen der Sicherheitslücke, viele Keys gestohlen werden konnten. Was ist nun das Problem? Naja zum einen ist es schön, dass die Lücke geschlossen ist, aber seit dem Bug haben es immernoch einige Firmen nicht für nötig gehalten, ihre Schlüssel zu erneuern, was zur Folge hat, dass potenzielle Angreifer, die bereits Keys gestohlen haben, diese weiterhin benutzen können, auch wenn der Bug nun behoben wurde.

Dies Statistik, die auf Netcraft veröffentlicht wurde deutet darauf hin, dass etwa 43 Prozent der beobachteten Webseiten nur ihre Zertifikate erneuert haben. Der Rest ist noch mit alten Zertifikaten versehen, bzw noch mit alten Schlüsseln. Also selbst wenn nun die Server geupdatet werden, können die Angreifer weiterhin die Verbindungen abhören und Schindluder treiben.

Netcraft selbst weist darauf hin, dass Webseitenbetreiber die alten Schlüssel auf keinen fall wieder akzeptieren sollten, um diesem Bug ein für alle mal das Handwerk zu legen.