Technologie
Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung
weitere Rubriken
PhilosophieTräumeOrteEsoterikLiteraturAstronomieHelpdeskGruppenGamingFilmeMusikClashVerbesserungenAllmysteryEnglish
Diskussions-Übersichten
BesuchtTeilgenommenAlleNeueGeschlossenLesenswertSchlüsselwörter
Schiebe oft benutzte Tabs in die Navigationsleiste (zurücksetzen).

Heartbleed Bug

19 Beiträge ▪ Schlüsselwörter: Hilfe, BUG, Passwort ▪ Abonnieren: Feed E-Mail
Seite 1 von 1
greenkeeper Diskussionsleiter
ehemaliges Mitglied

Link kopieren
Lesezeichen setzen

Heartbleed Bug

12.04.2014 um 08:33
http://www.spiegel.de/netzwelt/web/heartbleed-openssl-fehler-verraet-passwoerter-a-963381.html#js-article-comments-box-pager


Also irgendwie scheint da was schwer aus dem Ruder zu laufen. Erst heißt es, nur noch verschlüsselt mailen, damit niemand unbefugten Zugang zum Mailinhalt bekommt. Jetzt können wohl die Passwörter für die Datenverschlüsslung dank Heartbleed Bug vom Server direkt unverschlüsselt ausgelesen werden, also wenn man Ahnung hat oder Hacker is oder am besten beides.

Die NSA scheint dazu fähig zu sein, ich bin es aber nich. Ich habe keine Lust meine Passwörter jetzt alle zu ändern. Ich bin froh dass ich sie mir gerade noch alle merken kann, bei vielen muss ich schon 'ne Weile überlegen oder sogar nachschlagen.

Es soll wohl davon abhängen welche Form der SSL-Verschlüsslung der Provider bzw. Dienstanbieter verwendet. Gibt es da mehrere? Wie erfahre ich welche der Anbieter verwendet? Klärt mich mal bitte jemand darüber auf? Das is doch hoffentlich noch ein CCC-Forum? Also schreibt mal was aus eurer Trick-Kiste. Seid ihr wirklich so gut?

Und is deshalb ausgerechnet ein Deutscher angeblich für diesen Fehler verantwortlich? Verwendet die ganze Welt etwa einen deutschen SSL-Source-Code? Hätte ich jetzt nich so vermutet. Das is doch schon mal schief gegangen, Stichwort "Enigma".

Und warum gibt die NSA uns nich wenigstens mal einen kleinen Hinweis auf den Bug? Weil sie dann das Telefon der Kanzlerin nich mehr abhören kann? O.k., das is ein Grund. Also eine Frage hätte ich mir damit schon mal selbst beantwortet. Aber der Rest? Muss ich jetzt etwa auch mein Allmy-Passwort ändern? Ich bin total verwirrt. :(

Gruß greenkeeper


1x zitiertmelden

Heartbleed Bug

12.04.2014 um 13:07
Zitat von greenkeepergreenkeeper schrieb:Also irgendwie scheint da was schwer aus dem Ruder zu laufen. Erst heißt es, nur noch verschlüsselt mailen, damit niemand unbefugten Zugang zum Mailinhalt bekommt. Jetzt können wohl die Passwörter für die Datenverschlüsslung dank Heartbleed Bug vom Server direkt unverschlüsselt ausgelesen werden, also wenn man Ahnung hat oder Hacker is oder am besten beides.
Also ich habe mir das mal angesehen und ganz so einfach scheint das mit dem Auslesen der Passwörter dann doch nicht zu sein. Ob man durch diesen Fehler auf einem Server an wichtige Daten kommt, hängt davon ob, wie die Daten dort gespeichert sind. Durch den Fehler, bei der die Länge einer Abfrage nicht überprüft wird, können maximal 64 kB Daten direkt vom Speicher ausgelesen werden. Dabei kann man durchaus interessante Dinge wie Passwörter finden.
Zitat von greenkeepergreenkeeper schrieb:Die NSA scheint dazu fähig zu sein, ich bin es aber nich. Ich habe keine Lust meine Passwörter jetzt alle zu ändern. Ich bin froh dass ich sie mir gerade noch alle merken kann, bei vielen muss ich schon 'ne Weile überlegen oder sogar nachschlagen.
Bevor man das Passwort ändert, sollte man sich sicher sein, dass auf dem entsprechenden Server auch das Update (bzw. der Patch) eingespielt wurde, der Bug also behoben wurde.
Zitat von greenkeepergreenkeeper schrieb:Es soll wohl davon abhängen welche Form der SSL-Verschlüsslung der Provider bzw. Dienstanbieter verwendet. Gibt es da mehrere? Wie erfahre ich welche der Anbieter verwendet? Klärt mich mal bitte jemand darüber auf? Das is doch hoffentlich noch ein CCC-Forum? Also schreibt mal was aus eurer Trick-Kiste.
Der Heartbleed-Bug betrifft nur OpenSSL. Allerdings kann man auch nur dort überhaupt nach Bugs suchen, weil der Quellcode offen ist.
Zitat von greenkeepergreenkeeper schrieb:Und is deshalb ausgerechnet ein Deutscher angeblich für diesen Fehler verantwortlich? Verwendet die ganze Welt etwa einen deutschen SSL-Source-Code? Hätte ich jetzt nich so vermutet. Das is doch schon mal schief gegangen, Stichwort "Enigma".
OpenSSL kann ohne Lizenzgebühren zahlen zu müssen verwendet werden und ist sicher deshalb so verbreitet. Und der Fehler ist wohl wirklich nur ein Fehler und keine Hintertüre. Solche Fehler sind schnell passiert und später nur schwer zu finden. In proprietären Bibliotheken findet man solche Fehler natürlich gar nicht.
Und zur Enigma kann man sagen, dass die für die Zeit eigentlich schon sicher war, aber es gab Angriffspunkte (Der Wetterkurzschlüssel und Kurzsignale wurden auf erbeuteten deutschen U-Booten gefunden) und die haben die Allierten erfolgreich ausgenutzt.

Emodul


melden

Heartbleed Bug

12.04.2014 um 13:55
@Kirschi
ja ist mein ernst denk nur logisch drüber nach dann weißt du dass gott überall ist.


melden

Heartbleed Bug

12.04.2014 um 14:59
@Holdings
Gott ist tot.... man lasst den glaubens-kack aus der IT der Wissenschaft und allem was nichts mit Fantasie zu tun hat raus !

Hier gehts um den Bug, der schon fast komplett beseitigt ist und nicht um imaginäre freunde.


melden

Heartbleed Bug

12.04.2014 um 15:02
@define
dann gibts nach deiner logik auch keine strahlung? ja klar


1x zitiertmelden

Heartbleed Bug

12.04.2014 um 15:07
Zitat von HoldingsHoldings schrieb:dann gibts nach deiner logik auch keine strahlung? ja klar
wtf, was hat das Spaghettimonster, äh, ich meine Gott mit Strahlung zu tun?!


melden

Heartbleed Bug

12.04.2014 um 15:10
@Assassine
beides kann man net sehen meinte ich damit


melden

Heartbleed Bug

12.04.2014 um 15:10
@Holdings
OK, trotzdem sinnlos^^


melden

Heartbleed Bug

12.04.2014 um 15:37
@Holdings
Strahlung kann man messen.


melden

Heartbleed Bug

12.04.2014 um 15:39
@Kirschi
und die ergebnisse gottes sieht man ja wohl


melden

Heartbleed Bug

12.04.2014 um 15:44
@Holdings
Lass uns doch per PN weiter diskutieren. Auf Ot hat hier niemand Lust.


melden
greenkeeper Diskussionsleiter
ehemaliges Mitglied

Link kopieren
Lesezeichen setzen

Heartbleed Bug

12.04.2014 um 16:45
@emodul

Danke für den informativen Beitrag. :)


Gruß greenkeeper


melden

Heartbleed Bug

13.04.2014 um 00:03
1104 cartoon fitwidth 489
Randall Munroe, Zeichner der Comicreihe "xkcd", hat sich dieser Frage in seinem neuesten Cartoon angenommen. Mit einem Strichmännchen, das sich mit einem Server unterhält, illustriert er die Sicherheitslücke: Das Männchen schickt dem Rechner eine Nachricht, um zu sehen, ob die Verbindung ziwschen beiden noch besteht. Sie setzt sich aus drei Teilen zusammen: Der Frage "Bist du noch da?", einem Wort, mit dem der Computer antworten soll, und der Zeichenzahl dieses Wortes. Der "Heartbleed"-Fehler besteht darin, dass man dem Server auch eine Zeichenzahl schicken kann, die sehr viel größer ist, als die der gewünschten Antwort. Ein Beispiel: "Antworte mit 'Hut', in 500 Zeichen." Darauf antwortet der Computer mit dem Wort "Hut" - und weiteren 497 Zeichen, die sich in seinem Speicher befinden. Er gibt also sehr viel mehr Informationen preis, als er sollte. Möglicherweise auch Passwörter, Kreditkartendaten oder andere geheime Nutzerinformationen.


melden

Heartbleed Bug

13.04.2014 um 00:28
@brausud
Ja den Comic habe ich auch gepostet. Leider wurde er irgendwie verschluckt...

Hier noch mal der Ganze:
heartbleed explanationOriginal anzeigen (0,2 MB)


melden

Heartbleed Bug

13.04.2014 um 11:10
Der sollte einen Preis bekommen für den Comic. So versteht man das ganze Problem wirklich gut.


melden

Heartbleed Bug

14.04.2014 um 12:20
Sehr Freundlich von den Herren der NSA.............
Weiterhin behält es sich die NSA aber aus Gründen der nationalen Sicherheit vor, Schwachstellen und Bugs für sich zu behalten, wenn sie von der Regierung entdeckt werden. Auch zu Zwecken der Strafverfolgung kann dieser Wissensvorsprung eingesetzt werden.
http://www.giga.de/extra/sicherheit/news/nsa-war-heartbleed-luecke-unbekannt/ (Archiv-Version vom 17.04.2014)


1x zitiertmelden

Heartbleed Bug

29.04.2014 um 19:40
Sehr nett von den Findern die Lücke der Öffentlichkeit bekannt zu machen.
Man hätte für ein Exploit die diese Lücke ausnutzt bestimmt 1 Mio. Dollar oder mehr verlangen können :D


melden

Heartbleed Bug

30.04.2014 um 09:14
Zitat von brausudbrausud schrieb am 14.04.2014:Weiterhin behält es sich die NSA aber aus Gründen der nationalen Sicherheit vor, Schwachstellen und Bugs für sich zu behalten, wenn sie von der Regierung entdeckt werden. Auch zu Zwecken der Strafverfolgung kann dieser Wissensvorsprung eingesetzt werden.
Würde mich nicht erstaunen, wenn es gar keine Schwachstellen oder Bugs brauchen würde. Kann mir gut vorstellen, dass es in Programmen (und Betriebssystemen) einprogrammierte Hintertüren gibt, welche in Zusammenarbeit mit den netten Herren von diesem Verein entstanden sind.

Eodul


melden

Heartbleed Bug

30.04.2014 um 10:21
Eleganter ist es aber solche Hintertüren nicht als offensichtliche Geheimfunktion einzuprogrammieren sondern durch absichtliche Sicherheitslücken zu ermöglichen.

Aber ich bezweifle ob da so viel gezielt eingebaut wird. Übliche Software ist einfach von Natur aus voll von Sicherheitslücken.
Es ist wie mit Rohstoffabbau. Fast überall in der Erde sind Rohstoffe. Man muss nur genug Investitionen tätigen um sie ans Tageslicht zu fördern.

Das geschieht teilweise schon durch den freien Markt. Sogenannte IT Sicherheits Unternehmen, wie das französische Unternehmen Vupen, beschäftigen Fachkräfte damit wertvolle Sicherheitslücken zu finden und dann für den höchst anbietenden zu verkaufen.


melden

Ähnliche Diskussionen
Themen
Beiträge
Letzte Antwort
Technologie: Probleme und Fragen rund um Smartphones
Technologie, 127 Beiträge, am 20.12.2024 von Optimist
Optimist am 16.11.2024, Seite: 1 2 3 4 5 6 7
127
am 20.12.2024 »
Technologie: Passwortmanager - Hilfreich oder nicht?
Technologie, 45 Beiträge, am 16.10.2019 von Fennek
rutz am 29.07.2019, Seite: 1 2 3
45
am 16.10.2019 »
von Fennek
Technologie: Dumm werden durch neueste Technik?
Technologie, 109 Beiträge, am 02.09.2017 von Yooo
Apofhiz am 06.10.2008, Seite: 1 2 3 4 5 6
109
am 02.09.2017 »
von Yooo
Technologie: eBay voller Sterne (Mysterium)
Technologie, 27 Beiträge, am 14.12.2016 von Asimo
Asimo am 03.12.2016, Seite: 1 2
27
am 14.12.2016 »
von Asimo
Technologie: Covert Redirect Bug - Sicherheitslücke in OAuth und OpenID
Technologie, 1 Beitrag, am 02.05.2014 von Fennek
Fennek am 02.05.2014
1
keine Antworten