Heartbleed


This topic is so important that I will cover it in both, German and English. Please scroll down, for the English version. And there will be no tl;dr! If you are too lazy to read on something that important, but keep on using the Internet, you probably deserve to be hacked! Please pay special attention on what to do and what don’t to do, if you aren’t interested about my media critics part!

Es herrscht doch einige Verunsicherung bezogen auf die Schwachstelle, welche sich Heartbleed nennt. Was soll das überhaupt sein? Ich nutze diese Software – OpenSSL – garnicht! Ich muss jetzt SOFORT alle Passwörter ändern! etc.

Gerade die viel gelesene SPON zeigt mal wieder, was unsere Medien am besten können: Panik machen! Anstatt aufzuklären geht es um Verschwörungstheorien, Fingerzeigen und schwachsinnigen Aufforderungen. SPON sei hier nur exemplarisch zu nehmen – auch wenn die meiner Meinung nach den Vogel mal wieder vollends abschießen.

Das Problem

Warum Heartbleed potentiell jeden betrifft? OpenSSL ist ein sogenanntes Framework, d.h. es ist Software, die dafür gedacht ist, dass sie von anderer Software eingebunden wird. Dies wird gemacht, da es zum einen blödsinn ist, wenn jeder das Rad neu erfindet. Gerade bei Sicherheitssoftware ist das auch schwer möglich, denn mathematisch sichere Verfahren sind sehr kompliziert und die wenigsten Firmen haben das Know-How, dass für so etwas notwendig ist. Und so nutzen nach Schätzungen 2/3 der Webdienste OpenSSL für die sichere Übertragung von Daten. Deswegen ist tatsächlich so gut wie jeder betroffen.

Continue reading

SERIOUS: Update your iDevice and don’t use Safari!


In case you haven’t heard: There is a SERIOUS Bug in iOS/OS X, which is affecting SSL/TSL and basically rendering it ineffective. SSL/TSL is used to encrypt and protect data send via secure connections, e.g. using HTTPS to shop with Amazon, or for your online banking, or sending your passwords encrypted to the networks, e.g. Mail passwords, etc. You are especially vulnerable if you’re outside your secured network (e.g. office or home network), i.e. in a shared network, such as wireless hotspots, mobile network, etc.

Both iOS and OS X are affected, for iOS Apple has already released patches, and they even include the devices that are officially not supported anymore, i.e. 3GS and iPod Touch. For those devices you are to UPDATE to version 6.1.6, all newer devices are to UPDATE to version 7.0.6.

Unfortunately for OS X the patch is still developed, so here you’ll want to check your software status regularly and untill then DO NOT use the Safari browser. You’ll be fine using Firefox, Opera or Chrome, which offer their own implementation of SSL/TSL.

Other applications affected are:

  • Calendar
  • Facetime
  • Keynote
  • Twitter
  • Mail
  • iBooks
  • Software Update

Or to put it short: all Apple software (and third-party software using the Apple Security Framework) that provides ways to connect to servers. It should be relatively safe using these applications at home, but UNDER NO CIRCUMSTANCES should you use them in wireless networks that other people can use as well, i.e. anywhere outside your secured home network.

For more information also read the article Why Apples Huge Security Flaw is so Scary!