Sicherheitslücke Heartbleed
Ein grosses Thema der letzten Tage war die Sicherheitslücke namens «Heartbleed».
Sie könnten beispielsweise Web Stores, Internetbanking oder generell sämtliche Internetseiten, welche mit https: beginnen, betreffen. Ob eine solche https: Verbindung effektiv ein Sicherheitsrisiko war, hängt von der verwendeten Technologie auf der entsprechenden Serverseite ab. Konkret geht es um bestimmte Versionen von OpenSSL, welche das unbemerkte extrahieren von sensiblen Daten wie z.B. Passwörter ermöglicht haben, falls diese über die Webseite eingegeben wurden.
ETH Services
Auch diverse zentrale Dienstleistungen der Informatikdienste haben OpenSSL verwendet.
Eine Liste der betroffenen Services sowie der nicht betroffenen Services finden Sie unter:
http://www.id.ethz.ch/servicedesk/heartbleed
Diese Seite wird regelmässig aktualisiert.
Passwörter wechseln
Falls ein Dienst betroffen war, bedeutet dies noch lange nicht, dass die Passwörter gestohlen wurden. Dies ist nicht eruierbar. Damit besteht ein Restrisiko. Aus diesem Grund empfehlen wir, die Passwörter entsprechend zu wechseln, sobald sämtliche Systeme auf den aktuellen Stand gebracht wurden. Dies dürfte voraussichtlich am 16. April 2014 abgeschlossen sein.
Dieselben Überlegungen gelten identisch für andere, auch privat genutzte Services ausserhalb der ETH Zürich.
Die Seite externe Seite http://filippo.io/Heartbleed erlaubt allenfalls das Testen einer öffentlich zugänglichen Seite.