Die Royal Canadian Mounted Police (RCMP) hat nach einem Bericht von theglobeandmail.com den 19-jährigen Arthuro Solis-Reyes aus Ontario am Dienstag wegen Datendiebstahl bei der kanadischen Steuerbehörde CRA verhaftet. Laut einer Stellungnahme vom Mittwoch nutzte der Sohn eines Informatik-Professors dafür die Heartbleed-Lücke in OpenSSL. Angeblich hat er Sozialversicherungsnummern von 900 Steuerzahlern erbeutet.
Die kanadische Steuerbehörde hatte nach Bekanntwerden der SSL-Lücke die Server zwar einen Tag später vom Netz genommen, doch war dies offenbar zu spät. Wann genau der Diebstahl stattfand, wollten die Ermittler nicht mitteilen. Da Datendiebstahl über die als Heartbleed bekannte Schwachstelle CVE-2014-0160 in OpenSSL keine Spuren hinterlässt, vermuten Sicherheitsexperten, dass womöglich eine auf Sicherheit spezialisierte IT-Abteilungen der Regierung den Zugriff festgestellt hat.
Der verdächtige Stephen Arthuro Solis-Reyes studiert im zweiten Jahr an der University of Western Ontario, an der sein Vater Informatik lehrt. Zuvor war er Mitglied eines Schulteams, das einen Programmierwettbewerb gewonnen hat. Er ist auch Entwickler einer Blackberry-App für Sudoko-Räsel. Seine Verhandlung ist für den 17. Juli angesetzt. Ihm drohen bis zu zehn Jahre Haft.
Der Heartbleed-Bug ermöglicht Angreifern, auf Teile der eigentlich verschlüsselten Kommunikation zwischen Rechner und Server zuzugreifen. Mit den Daten im Speicher könnten sie kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen. Sie könnten auch Nutzernamen und Passwörter von Usern auslesen. Die betroffene Verschlüsselungssoftware OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Daten wie Passwörter zu verschlüsseln. Der Fehler wurde von der Sicherheitsfirma Codenomicon zusammen mit Google-Forscher Neel Mehta entdeckt.
Nutzer betroffener Server sollten umgehend die Zugangsdaten ändern und diesen Schritt wiederholen, sobald die Serverbetreiber neue Zertifikate eingespielt haben. Die großen deutschen E-Mail-Provider haben den Heartbleed-Bug inzwischen behoben und auch die Zertifikate erneuert.
Andere Server wie Online-Shops können natürlich auch von dem Heartbleed-Bug betroffen sein. Da nur die wenigsten Webseiten-Betreiber Informationen über die Schwachstelle kommunizieren, bleibt Nutzern nur die Möglichkeit, sich mit Online-Tools über den Status eines Servers zu informieren. Hierfür sind folgende Dienste geeignet:
filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
