Skip to Content

Hamburg: "Durch Heartbleed regelrecht erschüttert"

Der Hamburger SPD Bürgerschaftsabgeordnete Matthias_Albrecht ist auf seinem Strato Server von Heartbleed am 18. April immer noch betroffen. Also ist er (aka die Internetgemeinde) erschüttert:

Title:          Kleine Anfrage
Author:         Sarah Zimmer
Creator:        Acrobat PDFMaker 9.1 für Word
Producer:       Adobe PDF Library 9.0
CreationDate:   Mon Apr 14 12:32:59 2014
ModDate:        Mon Apr 14 12:32:59 2014
Tagged:         yes
Pages:          1
Encrypted:      no
Page size:      595.32 x 841.92 pts (A4)
File size:      13335 bytes
Optimized:      yes
PDF version:    1.5

 

BÜRGERSCHAFT
DER FREIEN UND HANSESTADT HAMBURG                             Drucksache   20/11493
20. Wahlperiode                                                                        11.04.14




                          Schriftliche Kleine Anfrage
                       des Abgeordneten Matthias Albrecht (SPD) vom 11.04.14


         Betr.:   Heartbleed-Problem auch bei der Freien und Hansestadt Hamburg?

                  In den vergangenen Tagen wurde die weltweite Internetgemeinde durch den
                  „Heartbleed-Bug“ regelrecht erschüttert. Dabei handelt es sich kurz gesagt
                  um einen Fehler in der Open-SSL-Verschlüsselungssoftware, der es ermögli-
                  chen soll, personenbezogene Daten, wie zum Beispiel Passwörter oder Ver-
                  schlüsselungszertifikate, heimlich auszulesen. Selbst große und weltbekann-
                  te Internetdienstanbieter sind von der Problematik betroffen.

                  Ich frage den Senat:

                  1.   Seit wann ist dem Senat dieses Problem bekannt?
                  2.   Wird in den Angeboten der Freien und Hansestadt Hamburg oder im
                       internen Datenverkehr serverseitig die Software „OpenSSL“ benutzt?
                  3.   Wird „OpenSSL“ auch für die Angebote genutzt, die unter hamburg.de
                       zu erreichen sind?
                  4.   Ist dem Senat bekannt, ob die Sicherheitslücke genutzt wurde, um Sys-
                       teme der Freien und Hansestadt Hamburg anzugreifen?
                  5.   Wann ja, wie oft geschah das und waren diese Angriffe erfolgreich?
                  6.   Konnten die Sicherheitslücken bereits geschlossen werden?
                  7.   Gibt es eine Empfehlung vonseiten des Senats an die Benutzer der
                       Angebote der Freien und Hansestadt Hamburg, wie sie sich zu verhalten
                       haben?

Quelle: https://buergerschaft-hh.de

Foto: Robert Thomson, Creative Commons Attribution 2.0 GenericFoto: Robert Thomson, Creative Commons Attribution 2.0 Generic

Also erst einmal diesen Bürgerschaft HH Server anschauen:

This server is not vulnerable to the Heartbleed attack. 
This server supports SSL 2, which is obsolete and insecure. 
This server is vulnerable to MITM attacks because it supports insecure renegotiation.
The server supports only older protocols, but not the current best TLS 1.2. 
The server does not support Forward Secrecy with the reference browsers.  

Server Key and Certificate #1

Common names	         www.buergerschaft-hh.de
Alternative names	 www.hamburgische-buergerschaft.de 
                         hamburgische-buergerschaft.de 
                         www.buergerschaft-hamburg.de 
                         buergerschaft-hamburg.de 
                         www.buergerschaft-hh.de 
                         buergerschaft-hh.de
Prefix handling	         Both (with and without WWW)
Valid from	         Sun Apr 14 18:47:10 UTC 2013

Quelle: https://www.ssllabs.com/ssltest/analyze.html?d=buergerschaft-hh.de

Also exakt eine Woche (!) benötigt, bis man das OpenSSL Loch gestopft hatte... Tsss. Leider bei dieser Gelegenheit die Gurge kaputt konfiguriert? Man in the Middle? Welcher verblödete Beamte war  das denn? Können das nicht schom Statteilschulenschüler_innen besser? Whois kommentiert:

Domain: buergerschaft-hh.de
Nserver: a.prim-ns.de
Nserver: a.sec-ns.net
Nserver: b.sec-ns.de
Nserver: c.sec-ns.de
Status: connect
Changed: 2014-02-25T20:00:29+01:00

[Tech-C]
Type: ROLE
Name: NEXINTO HOSTMASTER
Organisation: Nexinto GmbH
Address: Nagelsweg 33-35
PostalCode: 20097
City: Hamburg
CountryCode: DE
Phone: +49 40 771750
Fax: +49 40 77175519
Email: hostmaster@nexinto.com
Changed: 2014-02-25T19:57:26+01:00

Handelsregister meint:

Amtsgericht Hamburg Aktenzeichen: HRB 87822
easynet GmbH, Hamburg, Nagelsweg 33-35, 20097 Hamburg.
Die Gesellschafterversammlung vom 13.12.2013 hat die Änderung des
Gesellschaftsvertrages in § 1 (Firma) beschlossen. Neue Firma: Nexinto GmbH.

www.ssllabs.com/ssltest/analyze.html?d=nexinto.com sagt:

SSL 2 Protocol is supported, but with all cipher suites disabled

Glücksfall? Konfiguration nur zufällig "richtig"? Sieht so aus, denn von http://www.thc.org/thc-ssl-dos/ und Secure Client-Initiated Renegotiation hat man offensichtlich noch nie gehört. Lauter schwache  Cipher Suites mit einer Strength von 40 Bit.

Kommentare

Doppelter Glückwunsch an Matthias Albrecht

Rechtzeitig zu Ostern hat Albrecht das Herzbluten auf  matthias-albrecht.com (85.214.217.76) endlich gestoppt. Und er war definitiv nicht der letzte betroffene Bürgerschaftsabgeordne. Denn in der Linksfraktion bei tim-golke.de (81.169.221.61) tröpfelt es z.B. immer noch - ein "Dirk" (oder der TYPO3-Fachmann "Dirk Proesdorf") ist aber mit einem Debian-Hochsicherheitsserver  schon am basteln:

curl -ik https://tim-golke.de
HTTP/1.1 401 Authorization Required
Date: Sun, 20 Apr 2014 14:21:56 GMT
Server: Apache/2.2.22 (Debian)
WWW-Authenticate: Basic realm="DirksWiki"
Vary: Accept-Encoding
Content-Length: 480
Content-Type: text/html; charset=iso-8859-1


<p>401 Authorization Required</p>

<h1>Authorization Required</h1>

<p>This server could not verify that you are authorized to access the document 
requested. Either you supplied the wrong credentials (e.g., bad password), or 
your browser doesn't understand how to supply the credentials required.</p>

<hr />
<address>Apache/2.2.22 (Debian) Server at tim-golke.de Port 443</address>

Kommentar hinzufügen

  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <p> <span> <div> <h1> <h2> <h3> <h4> <h5> <h6> <img> <map> <area> <hr> <br> <br /> <ul> <ol> <li> <dl> <dt> <dd> <table> <tbody> <th> <tr> <td> <em> <b> <u> <i> <strong> <del> <ins> <sub> <sup> <quote> <blockquote> <pre> <address> <code> <cite> <embed> <object> <param> <strike> <caption> <iframe>
  • Um Code zu schreiben bitte die Tags <code>...</code> (für generischen Code) oder <?php ... ?> (für Syntaxhervorhebung / PHP Code) benutzen.
  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Bilder können zu diesem Beitrag hinzugefügt werden.
  • You may use [inline:xx] tags to display uploaded files or images inline.
  • Create a Mobile Code using the following format:
    [mobilecode #preset="preset"]content[/mobilecode]
  • Textual smiley will be replaced with graphical ones.
  • You may use [swf file="song.mp3"] to display Flash files and media.
  • Sie können Videos mit [video:URL] angeben

Weitere Informationen über Formatierungsoptionen

CAPTCHA
Diese Frage dient dazu festzustellen, ob Sie ein Mensch sind und dient dazu Einträge von Maschinen zu verhindern.
Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.


eilbek
story | about seo