Sicherheitslücke Heartbleed
Ein grosses Thema der letzten Tage war die Sicherheitslücke namens «Heartbleed».
Sie k?nnten beispielsweise Web Stores, Internetbanking oder generell s?mtliche Internetseiten, welche mit https: beginnen, betreffen. Ob eine solche https: Verbindung effektiv ein Sicherheitsrisiko war, h?ngt von der verwendeten Technologie auf der entsprechenden Serverseite ab. Konkret geht es um bestimmte Versionen von OpenSSL, welche das unbemerkte extrahieren von sensiblen Daten wie z.B. Passw?rter erm?glicht haben, falls diese über die Webseite eingegeben wurden.
ETH Services
Auch diverse zentrale Dienstleistungen der Informatikdienste haben OpenSSL verwendet.
Eine Liste der betroffenen Services sowie der nicht betroffenen Services finden Sie unter:
http://www.id.ethz.ch/servicedesk/heartbleed
Diese Seite wird regelm?ssig aktualisiert.
Passw?rter wechseln
Falls ein Dienst betroffen war, bedeutet dies noch lange nicht, dass die Passw?rter gestohlen wurden. Dies ist nicht eruierbar. Damit besteht ein Restrisiko. Aus diesem Grund empfehlen wir, die Passw?rter entsprechend zu wechseln, sobald s?mtliche Systeme auf den aktuellen Stand gebracht wurden. Dies dürfte voraussichtlich am 16. April 2014 abgeschlossen sein.
Dieselben ?berlegungen gelten identisch für andere, auch privat genutzte Services ausserhalb der ETH Zürich.
Die Seite externe Seitehttp://filippo.io/Heartbleedcall_made erlaubt allenfalls das Testen einer ?ffentlich zug?nglichen Seite.