Information zum Heartbleed-Bug

Detailinformationen zur Sperrung von Accounts ohne Passwortänderung:

Leider wurde unserer Aufforderung zur Passwortänderung (siehe unten) nur in 15% der Fälle nachgekommen.
Wir sehen aber unter Anderem ein Problem darin, dass potentielle Angreifer Zugriff auf Postfächer oder Dateiablagen der Benutzer nehmen können welche Ihr Passwort nicht geändert haben.
Das betrifft dann auch die Nutzer, die sich nun sicher fühlen, da sie der Aufforderung nachgekommen sind. Schließlich können bei kompromittierten Konten deren E-Mails mitgelesen werden, Dateien auf gemeinsamen Dateiablagen eingesehen werden.
In der IuK Ordnung des KIT, welche jeder KIT-Angehörige angenommen hat, verpflichtet sich der Nutzer in §5 Absatz 2 unter anderem:

- 6. dafür Sorge zu tragen, dass keine anderen Personen Kenntnis von den Authentifizierungsschlüsseln - z. B. Passwort, PIN, Zertifikat, Private Key - erlangen, sowie Vorkehrungen zu treffen, damit unberechtigten Personen der Zugang zu der IuK-Infrastruktur verwehrt wird,

Diese Verpflichtung betrifft unserer Meinung nach auch das Ändern des Passwortes wenn der Verdacht der Kompromittierung vorliegt.
Daher haben wir uns dazu entschlossen Konten, deren Besitzer der obigen Aufforderung nicht nachkommen, ab dem 1.8.2014 zu sperren.

Welche Systeme sind betroffen?
Am zentralen Account der ATIS hängen verschiedene Dienste bei deren Benutzung am Client eine Änderung nötig ist.
Dies sind unter Anderem aber nicht nur:

1.) die E-Mail Server: Microsoft Outlook, Thunderbird oder Mail von Apple fragen im Normalfall nach einer Änderung der Zugangsdaten beim nächsten Abruf oder Versand erneut nach.
2.) VPN: auch hier wird der Nutzer normalerweise erneut gebeten sein Passwort einzutragen
3.) SVN: Hier wird in manchen Programmen das Passwort lokal gespeichert und der Benutzer nicht erneut gefragt. In diesem Fall müsste der lokale Cache des Programms geleert werden.
4.) Lokale Systeme der Arbeitsgruppe: hier müsste Ihr ATIS Beauftragter bestens Bescheid wissen.

Sollten Sie Probleme nach der Passwortänderung haben, überlegen Sie bitte in den nächsten Tagen, ob es mit dem Wechsel zu tun haben könnte.

Anleitungen für die Konfiguration einiger Clients finden Sie auf dieser Seite

Fragen Sie im Zweifelsfall Ihren ATIS Beauftragten oder schicken Sie eine Mail an it-dienste∂atis.uka.de.

 

Information zum Heartbleed-Bug

 

 ===== [english version below] =====

Sehr geehrte Damen und Herren,

wie Sie sicherlich inzwischen mitbekommen haben, wurde in der openssl Bibliothek zur Absicherung von Daten in Internetanwendungen eine gefährliche Sicherheitslücke entdeckt.

Auch auf einigen Systemen der ATIS Infrastruktur kam diese Komponente zum Einsatz und die angebotenen Dienste konnten von der Heartbleed [1] genannten Lücke betroffen sein.
Inzwischen ist die Sicherheitslücke auf allen von uns angebotenen Systemen geschlossen.
Leider kann aufgrund der Dauer in der das Problem existierte (ca. zwei Jahre) und der Art der Sicherheitslücke weder nachvollzogen noch ausgeschlossen werden, dass Passwörter mitgelesen worden sind.

Da nicht ausgeschlossen werden kann, dass dieses in den letzten zwei Jahren abgegriffen worden ist, müssen Sie Ihr zentrales Benutzerpasswort für Ihren ATIS Account ändern.

Gehen Sie dazu, möglichst bis zum 23.4., auf die folgende Seite, falls Sie Ihr Passwort nicht schon seit Mitte letzter Woche geändert haben:

                         https://webmail.informatik.kit.edu

- Melden Sie sich mit Ihrem jetzigen Passwort an. ( Dieses System ist, wie alle anderen von der ATIS betriebenen Systeme auch, aktuell und sicher!)
- Sollten Sie eine Meldung zu Wartungsmaßnahmen bekommen, klicken Sie einfach auf überspringen.
- Dort klicken Sie auf "Mein Konto" und dann auf "Passwort".
- Geben Sie Ihren Benutzernamen und Ihr "altes" Passwort ein.
- Danach geben Sie Ihr neues Passwort ein. Dieses muss den Passwortrichtlinien [2] entsprechen und sollte nirgendwo anders genutzt werden! Beim BSI [3] finden Sie außerdem Hinweise wie Sie sich Passwörter besser merken können, die trotzdem sicher sind.
- Wiederholen Sie das Passwort und klicken Sie auf "Passwort ändern".

Ab sofort ist Ihr Passwort aktiv und muss beim Zugriff auf ihr Mailkonto, die Groupware Webseite, active sync für mobile Geräte sowie alle Dienste, die auf die zentrale ATIS Accountverwaltung zugreifen, genutzt werden.

Wir werden, falls nötig, weitere Informationen bezüglich der durch die ATIS betriebenen Systeme auf dieser Seite aktualisieren.

Bei Fragen wenden Sie sich an Ihren Systemadminstrator oder schicken Sie eine E-Mail an  atis∂atis.uka.de

Vielen Dank für Ihre Unterstützung und Ihr Verständnis

Ihr ATIS Team

[1] https://www.cert.kit.edu/heartbleed
[2] http://www.scc.kit.edu/dienste/4319.php
[3] www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter.html

 

===== [english version] =====

Dear Madam, dear Sir,

as you probably heard of, there was a severe bug in the openssl library.

Also some sytems administered by the ATIS were affected by the Heartbleed [1] security bug.
Meanwhile all our systems are patched but the problem was on the wild since approximatly two years and nobody can assure there were no credentials stolen.
Because it is not sure your credentials have been compromised, we strongly encourage you to change your ATIS password.

Please visit the following site until April 23 if you didn´t change your password since last week:

                         https://webmail.informatik.kit.edu

- Login with your current password. (This system as all other systems maintained by the ATIS is securely patched!)
- Click on "Account" then "password".
- Fill in your username and current passwort.
- Type in a new password which must be KIT conform [2] and should not be used anywhere else! You can find some advice on good passwords which you can also remember on wikipedia [3].
- Retype the new password and click on "Passwort ändern".

The new credentials are valid for your mailaccount, the groupware website, active sync for mobile devices and for all systems using the central ATIS account management immediately.

We will publish further information about our systems on http://atis.informatik.kit.ed/XXX.php if necessary.

If you have any question, don´t hesistate to ask your system administrator or send an e-mail to  atis∂atis.uka.de

Thanks for support and sympathy

your ATIS Team

 

[1] https://www.cert.kit.edu/heartbleed
[2] http://www.scc.kit.edu/dienste/4319.php
[3] http://en.wikipedia.org/wiki/Password_strength#Creating_and_handling_passwords