Heartbleed

Müssen wir uns Sorgen machen? Dazu gibt es schon mal zwei Antworten:

1. JA, denn
   • Es sind SEHR VIELE Systeme betroffen.
   • Ein Angriff ist NICHT feststellbar.
   • Prinzipiell können nahezu beliebige Daten vom Server geholt werden.
   • Die Schwachstelle war lange draußen.
2. NEIN. Don't panic. Wenn man's mit Epikur hält jedenfalls. Der Anwender hat keine Handlungsmöglichkeit, zudem kann rückwirkend nichts mehr getan werden. Wer jetzt so richtig beunruhigt ist, sollte sich zumindest mal mit email-Verschlüsselung befassen. Ist gar nicht so schwer.

Wir fassen mal zusammen was so los war (subjektiv und unstrukturiert):

Die simpelste Zusammenfassung zur Funktion

Hat xkcd:

Die Ausbeutung geht noch einfacher als gedacht.

Cloudflare wollte genauer wissen, wie schwierig es ist, nginx über Heartbleed private Schlüssel zu entlocken. Eine Analyse sagt eher nicht, die Realität schaut wohl anders aus.

Die NSA sagt, sie waren's nicht:

Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.

— NSA/CSS (@NSA_PAO) April 11, 2014

Das Rückrufen von Zertifikaten funktioniert nicht vernünftig

Mittlerweile rufen so ziemliche alle Betroffenen ihre Zertifikate zurück. Mal abgesehen davon dass die Reichweite von "ziemliche alle" zu hinterfragen ist: auch das Rückrufen von Zertifikaten ist problematisch. Sowohl Server- als auch Browser-seitig sind die vorgesehenen Mechanismen nur teilweise unterstützt bzw. können deaktiviert werde. Im Endeffekt bedeutet das, dass diese Zertifikate auch weiterhin eine Gefahr darstellen können.