Der Tag nach dem Ende. Naja, eigentlich ist es ja kein wirkliches Ende, denn alle Systeme, auf denen bisher noch Windows XP läuft, laufen weiter. Aber was kommt nun? Einfach weiter nutzen oder doch umsteigen? Und wenn ja, auf was?
Eine ganze Menge PCs wird auch weiter mit Windows XP betrieben. Bei manchen Leuten vielleicht aus Unwissenheit, bei manchen absichtlich und bei vielen einfach, weil es ihnen schlichtweg egal sein dürfte. Insbesondere letzteres ist aber gefährlich.
Am 07. April 2014 wurde in der für die sichere, zertifikatsbasierte Kommunikation im Internet genutzten OpenSSL Bibliothek publik. Der “Heartbleed” getaufte Fehler sorgt dafür, dass sich gerade bei einem Sicherheitsfeature private Daten wie Zertifikate oder private Schlüssel dazu auslesen lassen. Und das zumindest bei Servern einfach indem man die entsprechenden Dienste aufruft. Bei Clients ist der Schlüsselklau wohl über eine “Man-in-the-middle” Attacke möglich. Nicht ohne Grund schreibt man schon von der wohl folgenreichsten Sicherheitslücke in der Geschichte.
Was hat das mit Windows XP zu tun? Zuerst einmal gar nichts. Microsoft nutzt die genannte Bibliothek nicht und ist daher selber nicht von der Sicherheitslücke betroffen. Aber die “Heartbleed” Lücke zeigt eines ganz deutlich: es ist bei Systemen, die irgendwo an Netzwerke angebunden sind, absolut töricht, ein System einzusetzen, welches nicht weiter gepflegt wird. Im Falle der OpenSSL Lücke helfen keine Firewalls, da ja zu dem Zeitpunkt Daten ausgetauscht werden müssen und keine Virenscanner, die nicht erkennen können, ob dort nun legitim Daten gelesen werden oder nicht. Dort hilft einzig und alleine ein möglichst zügiges Update der fehlerhaften Komponente.
Das eigentliche Problem scheint tatsächlich schon seit zwei Jahren bekannt zu sein, allerdings gab es trotz des offenen Quellcodes von OpenSSL bisher keine Korrektur. Opensource alleine ist also kein Sicherheitsmerkmal.
Für die Linux Distributionen standen allerdings nach dem Bekanntwerden des Problems sehr schnell Updates bereit – allerdings müssen diese auch überall zuerst einmal eingespielt werden, bis die entsprechenden Dienste wieder sicher sind. Web- oder Mailserver sind sicherlich besonders betroffen, lassen sich aber auch relativ problemlos aktualisieren. Die entsprechenden Routinen stecken aber vermutlich auch in der Mehrzahl der Router, Switche, VPN-Gateways VoIP Telefone und sonstiger Systeme, die SSL nutzen.
Das Beispiel dieses SSL-GAUs zeigt eines ganz deutlich:
XP einfach weiter zu benutzen ist keine Alternative!
In den folgenden paar Beiträgen möchte ich einfach mal schauen, welche Alternativen es gibt und ob es wirklich Alternativen sind. Über die nächsten Tage gibts dann hoffentlich jeden Tag einen neuen Artikel zum Thema.