Apr 112014
 

Heartbleed-Programmierer: Deutscher schrieb den fehlerhaften Code – SPIEGEL ONLINE.

Quote:

Absicht oder nicht?

ZunĂ€chst wurde der Name auf Twitter verbreitet, vereinzelte Tweets verlinkten auf den fraglichen Code, kombiniert mit SĂ€tzen wie: „Ich wĂ€re jetzt nicht gern Robin S.“*

Richtig Fahrt nahm die Geschichte in der Szene auf, als der bloggende Hacker Felix von Leitner den – zu diesem Zeitpunkt lĂ€ngst öffentlich auffindbaren – Namen des Mannes und auch dessen gegenwĂ€rtigen Arbeitgeber nannte. Verbunden mit dem Verdacht, es könnte sich bei dem Programmierfehler auch um eine gegen Bezahlung absichtlich eingebaute HintertĂŒr handeln: „Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor.“

I tend away from such conspiracy theories and towards „bright people make dumb errors“ theories.

Apr 082014
 

Anyone running a server with OpenSSL or OpenVPN needs to make sure they are running a secure version. It’s not enough to hope you’re safe. If you have been running an insecure version… tough luck, you are going to have to assume the worst and change your secret keys, revoking the old ones. How high the risk is cannot be judged as the leak leaves no traces.

Refer to the official sources. Unfortunately, the official OpenSSL notification is far too weak an uninformative, at the time of writing (8th April, 2014)

You will find lots of other, better sites with more information and, unfortunately, more horror scenarios. Here’s the one Google are currently putting top of the search lists

How on earth the Heartbleed.com domain happened to be available to shout out this vulnerability I do not know… I expect it to metamorphose into some shopping portal when the dust hasn’t quite settled.