Anonim

Den fejlbehæftede softwarekode, der udløste den aktuelle sårbarhed i mange webservices, blev skrevet af en programmør fra Tyskland. Det var en utilsigtet fejl ved forbedring af OpenSSL-krypteringssoftwaren, hævdede manden. "Jeg arbejdede på OpenSSL og sendte et antal fejlrettelser og nye funktioner, men tilsyneladende gik jeg glip af en længdekontrol i en patch for en ny funktion, " sagde han i en e-mail til "Spiegel Online." Fejlen i sig selv er "temmelig triviel". Tilsvarende udtrykte han sig i "Sydney Morning Herald" torsdag.

Efter at problemet var dukket op, blev det blandt andet spekuleret i, at den amerikanske efterretningstjeneste NSA måske havde haft fingrene i spillet. De nylige afsløringer afslørede også, at NSA havde målrettet kryptering. Den dårlige kode i OpenSSL eksisterede i cirka to år. Sårbarheden kaldet "Heartbleed" giver angribere mulighed for at kompromittere kryptering og få adgang til de angiveligt sikre data. Hundretusinder af websteder blev berørt. Store internet-tjenester skyndte sig at tilslutte sårbarheden i deres systemer.

spoods.de

Google annoncerede, at blandt andet sin egen internetsøgning, e-mailtjenesten GMail, YouTube og downloadplatformen Play with updates var gjort sikre. Tyske banker og sparebanker lukker også sikkerhedsgap i deres systemer.

SSL-kryptering bruges af et stort antal websteder, e-mail-tjenester og chatprogrammer. OpenSSL er en af ​​byggestenene i sikkerhedsprotokollen. Sårbarheden giver angribere mulighed for at stjæle kritiske data fra krypterede forbindelser - f.eks. Adgangskoder. Derfor skal brugerne ændre adgangskoder til alle berørte og allerede sikre websteder.

  1. En betryggende meddelelse i starten:
    Det valgte kodeord er meget sikkert (men kan forbedres).
  2. En god hjælp
    Som mange programmer i dette miljø giver "Password Safe" muligheden for at oprette tilsvarende sikre adgangskoder ved hjælp af en generator.
  3. Første adgang til en tilsvarende internetadresse
    I "Password Safe" kan derefter direkte oprettes en ny post med de krævede oplysninger.
  4. Denne advarsel kan kun kaldes overdrevet
    RoboForm truer allerede systeminstabilitet, hvis kun applikationen ikke er installeret i standardmappen.
  5. Kun med online-konto
    Hvis dataene skal være tilgængelige på RoboForm på tværs af platformgrænser, skal der oprettes en online-konto.
  6. Gennem en online-konto er legitimationsoplysningerne derefter tilgængelige på andre platforme via RoboForm
    Her i Firefox på Mac OS X eller …
  7. … gennem brugen …
    … den tilsvarende app såvel som på smartphonen under Android-operativsystemet.
  8. Sprogfilen skal downloades separat
    Efter dette trin vil freeware "KeePass" være tilgængelig på tysk.
  9. Open source værktøj med password generator
    Ved hjælp af den integrerede generator kan brugerne oprette meget komplekse og sikre adgangskoder, selv med denne software.
  10. Hovednøglen bliver endnu mere sikker
    Med KeyPass kan denne ekstremt vigtige adgangskode konfigureres til at være sammensat af flere nøglekilder, hvilket øger sikkerheden markant.
  11. 1Password
    Det er klart med mange forskellige anvendelser: Løsningen 1Password er let at bruge og er nu tilgængelig i den aktuelle version 4 med tysk interface.
  12. Onlinehjælp venter stadig på lokalisering
    Mens version 4-versionen allerede taler tysk, skal brugerne stadig være tilfredse med engelske tekster, når det kommer til onlinehjælp.
  13. Allerede under installationen viser det sig, at med "LastPass" -løsningen næsten alt drejer sig om brugen i browseren.
    Derfor skal de tilsvarende plug-ins også installeres.
  14. Udbyderen forsikrer, at dataene vil blive krypteret lokalt på pc'en.
    Ikke desto mindre forbliver sikkerhedsrisikoen for, at disse data derefter også er lagrede amerikanske systemer i USA.
  15. I den aktuelle version af "LastPass" er sprogindstillingen nu uafhængig af browseren
    Tyske brugere kan nu bruge løsningen på tysk, hvis de bruger en engelsksproget browser. Kun skaleringen af ​​vinduet til justering fungerer ikke korrekt endnu.
  16. Gendannelse af adgangskoder betyder normalt "krakning" af Windows-databasen med legitimationsoplysninger
    Sikkerhedsprogrammet og Windows reagerer derfor i overensstemmelse med installationen af ​​et sådant program (her orphcrack).
  17. Professionelle gendannelsesprogrammer som dette af Stellar Phoenix fungerer normalt ved hjælp af en startdisk
    Med deres hjælp kan de tilsvarende administratoradgangskoder for eksempel slettes.

Påvirket af OpenSSL-problemet var blandt andet tjenester fra internetgiganten Yahoo. Andre store udbydere som Apple, Amazon eller Microsoft var helt klare. I Canada er muligheden for at arkivere selvangivelser online stoppet på grund af sårbarheden.

"Det kunne let være den værste sårbarhed siden massespredning af internettet, " sagde ITF-chef CloudFlare-chef Matthew Prince, Wall Street Journal. Den kendte internetsikkerhedsekspert Bruce Schneier skrev: "I en skala fra 1 til 10 er det en 11.." En netværksekspert fortalte teknologibloggen "Ars Technica", at han i gamle poster af servere havde opdaget et forsøg på at udnytte sårbarheden i november 2013.

Sårbarheden findes i en funktion, der faktisk skal køre i baggrunden. Hun sender regelmæssigt data frem og tilbage på en krypteret forbindelse for at sikre, at begge sider stadig er online. Følgelig kaldes funktionen "hjerteslag", hjerteslag. Sårbarheden blev derfor kaldt "Heartbleed".

Den Deutsche Kreditwirtschaft (DK), bankforeningens paraplyorganisation, sagde torsdag, efter at afsløringen af ​​sårbarheden straks blev kontrolleret, om de finansielle institutioner var berørt. "Hvor dette er tilfældet, er alle nødvendige skridt allerede taget for at afslutte sårbarheden i OpenSSL."

Planen var faktisk at lukke sårbarheden i baggrunden uden en stor opstemning, skrev "Wall Street Journal", med henvisning til informerede personer. I betragtning af bekymringen over, at hackere allerede havde fået det, var kløften hurtigt blevet offentliggjort. (Dpa / tc)