diese Mail hatte ich gestern ihm Postfach. Kann das einer bestätigen?
Oder ein böser Fake?
Heartbleed
Wie viele von euch bestimmt schon aus der Presse erfahren haben, wurde eine
schwere Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL [1]
bekannt.
Der teilweise als "GAU" bezeichnete Fehler, ist wohl einer der schwersten
seiner Art in letzter Zeit, gerade weil der Secure Socket Layer (SSL) dazu
benutzt wird besonders sensible Daten vor Fremdzugriff zu schützen.
Auch die Server des Kulturkosmos (Fusion Festival) waren teilweise von
dieser Sicherheitslücke betroffen. Wir möchten euch nun über den zeitlichen
Ablauf der Ereignisse und die von uns getroffenen Gegenmaßnahmen
unterrichten.
Chronologie der Ereignisse
Am 07.04. wurde der Heartbleed Bug durch ein Forscherteam veröffentlicht.
Noch in der Nacht zum 08.04. veröffentlichte OpenSSL einen Patch der die
Lücke schliesst.
Am 08.04 wurde der Patch auf allen Kulturkosmos Servern installiert und so
die Sicherheitslücke in der Software geschlossen.
Dann ist doch alles in Ordnung
Nein, ist es leider nicht. Das reine Schließen der Schwachstelle durch
einspielen der gepatchten Version von OpenSSL reicht nicht aus.
Der Fehler bestand seit gut zwei Jahren und hinterlässt so gut wie keine
Spuren wenn er ausgenutzt wird. Niemand weiß ob und durch wen diese Lücke
in der Zwischenzeit ausgenutzt wurde.
Allerdings gibt es erste Hinweise, dass diese Schwachstelle mindestens seit
November 2013 - wahrscheinlich durch einen Geheimdienst - ausgenutzt wurde.
[2]
Es ist also davon auszugehen, dass der Serverschlüssel gestohlen wurde und
alle eure Daten inklusive eurer Passwörter in falsche Hände geraten sind.
Es ist nicht erwiesen, dass es so abgelaufen ist. Aber aus
Sicherheitserwägungen muss man zunächst vom größtmöglichen Schaden
ausgehen.
Das klingt ja alles schrecklich, also konnte jeder meine Daten abrufen?
Hier kann man glücklicherweise verneinen. Um diese Lücke mit einer
sogenannten Man-in-the-middle Attacke auszunutzen, ist eine privilegierte
Position im Netzwerk nötig. So eine Position haben in der Regel nur drei
Personengruppen: ein technisch äusserst versierter böser Mitbewohner, dein
Internet-Service-Provider oder die NSA.
Durch die Schwachstelle selbst, werden zwar auch Daten offengelegt, um
gezielt Benutzerdaten auszulesen ist der Bug alleine allerdings nicht
geeignet.
Auch gibt es immerhin diese positiven Faktoren:
* Unsere Infrastruktur war nicht über die ganzen 2 Jahre von der
Sicherheitslücke betroffen. (Die verwundbare Version von OpenSSL wurde im
November 2013 auf einigen Servern durch ein System Upgrade aufgebracht.)
* Durch den Einsatz von Perfect Forward Secrecy, seit Juni 2013, kann die
Verschlüsselung nicht rückwirkend gebrochen werden, die Angriffsfläche
wird dadurch zusätzlich verkleinert.
* Die angreifbare Version der Software wurde am Dienstag den 08.04.2014 auf
unseren Systemen ausgetauscht. Die Lücke ist geschlossen.
Was kann ich tun?
Derzeit noch nichts. Wer wirklich auf Nummer sicher gehen will, sollte sich
vorerst nicht mehr in seinen Ticketaccount einloggen.
Wir haben ein neues Zertifikat beantragt. Sobald wir das erhalten und
installiert haben, solltest du dein Passwort für den Ticketaccount ändern.
Du wirst gesondert informiert, sobald die neuen Zertifikate installiert
sind.
Fazit
Für uns die wir die IT-Infrastruktur des Kulturkosmos betreuen, ist der
Vorfall ein Schock. Wird doch ein enormer Aufwand betrieben um deine Daten
so sicher wie möglich zu verwahren.
So befinden sich alle Server in unserem Besitz und werden durch uns selbst
betrieben. Wir setzen aus Überzeugung auf freie und Opensource Software,
um die Sicherheit eurer Daten zu gewährleisten und konnten unsere eigenen
Ansprüche nun nicht erfüllen.
Wir möchten uns auf diesem Wege bei dir für die entstandenen und
enstehenden Unannehmlichkeiten entschuldigen.
[1] http://heartbleed.com
[2]
https://www.eff.org/deeplinks/2014/04/w ... ember-2013
