Heartbleed Bug

http://www.spiegel.de/netzwelt/web/heartbleed-openssl-fehler-verraet-passwoerter-a-963381.html#js-article-comments-box-pager


Also irgendwie scheint da was schwer aus dem Ruder zu laufen. Erst heißt es, nur noch verschlüsselt mailen, damit niemand unbefugten Zugang zum Mailinhalt bekommt. Jetzt können wohl die Passwörter für die Datenverschlüsslung dank Heartbleed Bug vom Server direkt unverschlüsselt ausgelesen werden, also wenn man Ahnung hat oder Hacker is oder am besten beides.

Die NSA scheint dazu fähig zu sein, ich bin es aber nich. Ich habe keine Lust meine Passwörter jetzt alle zu ändern. Ich bin froh dass ich sie mir gerade noch alle merken kann, bei vielen muss ich schon 'ne Weile überlegen oder sogar nachschlagen.

Es soll wohl davon abhängen welche Form der SSL-Verschlüsslung der Provider bzw. Dienstanbieter verwendet. Gibt es da mehrere? Wie erfahre ich welche der Anbieter verwendet? Klärt mich mal bitte jemand darüber auf? Das is doch hoffentlich noch ein CCC-Forum? Also schreibt mal was aus eurer Trick-Kiste. Seid ihr wirklich so gut?

Und is deshalb ausgerechnet ein Deutscher angeblich für diesen Fehler verantwortlich? Verwendet die ganze Welt etwa einen deutschen SSL-Source-Code? Hätte ich jetzt nich so vermutet. Das is doch schon mal schief gegangen, Stichwort "Enigma".

Und warum gibt die NSA uns nich wenigstens mal einen kleinen Hinweis auf den Bug? Weil sie dann das Telefon der Kanzlerin nich mehr abhören kann? O.k., das is ein Grund. Also eine Frage hätte ich mir damit schon mal selbst beantwortet. Aber der Rest? Muss ich jetzt etwa auch mein Allmy-Passwort ändern? Ich bin total verwirrt. :(

Gruß greenkeeper

greenkeeper schrieb:Also irgendwie scheint da was schwer aus dem Ruder zu laufen. Erst heißt es, nur noch verschlüsselt mailen, damit niemand unbefugten Zugang zum Mailinhalt bekommt. Jetzt können wohl die Passwörter für die Datenverschlüsslung dank Heartbleed Bug vom Server direkt unverschlüsselt ausgelesen werden, also wenn man Ahnung hat oder Hacker is oder am besten beides.

Also ich habe mir das mal angesehen und ganz so einfach scheint das mit dem Auslesen der Passwörter dann doch nicht zu sein. Ob man durch diesen Fehler auf einem Server an wichtige Daten kommt, hängt davon ob, wie die Daten dort gespeichert sind. Durch den Fehler, bei der die Länge einer Abfrage nicht überprüft wird, können maximal 64 kB Daten direkt vom Speicher ausgelesen werden. Dabei kann man durchaus interessante Dinge wie Passwörter finden.

greenkeeper schrieb:Die NSA scheint dazu fähig zu sein, ich bin es aber nich. Ich habe keine Lust meine Passwörter jetzt alle zu ändern. Ich bin froh dass ich sie mir gerade noch alle merken kann, bei vielen muss ich schon 'ne Weile überlegen oder sogar nachschlagen.

Bevor man das Passwort ändert, sollte man sich sicher sein, dass auf dem entsprechenden Server auch das Update (bzw. der Patch) eingespielt wurde, der Bug also behoben wurde.

greenkeeper schrieb:Es soll wohl davon abhängen welche Form der SSL-Verschlüsslung der Provider bzw. Dienstanbieter verwendet. Gibt es da mehrere? Wie erfahre ich welche der Anbieter verwendet? Klärt mich mal bitte jemand darüber auf? Das is doch hoffentlich noch ein CCC-Forum? Also schreibt mal was aus eurer Trick-Kiste.

Der Heartbleed-Bug betrifft nur OpenSSL. Allerdings kann man auch nur dort überhaupt nach Bugs suchen, weil der Quellcode offen ist.

greenkeeper schrieb:Und is deshalb ausgerechnet ein Deutscher angeblich für diesen Fehler verantwortlich? Verwendet die ganze Welt etwa einen deutschen SSL-Source-Code? Hätte ich jetzt nich so vermutet. Das is doch schon mal schief gegangen, Stichwort "Enigma".

OpenSSL kann ohne Lizenzgebühren zahlen zu müssen verwendet werden und ist sicher deshalb so verbreitet. Und der Fehler ist wohl wirklich nur ein Fehler und keine Hintertüre. Solche Fehler sind schnell passiert und später nur schwer zu finden. In proprietären Bibliotheken findet man solche Fehler natürlich gar nicht.
Und zur Enigma kann man sagen, dass die für die Zeit eigentlich schon sicher war, aber es gab Angriffspunkte (Der Wetterkurzschlüssel und Kurzsignale wurden auf erbeuteten deutschen U-Booten gefunden) und die haben die Allierten erfolgreich ausgenutzt.

Emodul

@Kirschi
ja ist mein ernst denk nur logisch drüber nach dann weißt du dass gott überall ist.

@Holdings
Gott ist tot.... man lasst den glaubens-kack aus der IT der Wissenschaft und allem was nichts mit Fantasie zu tun hat raus !

Hier gehts um den Bug, der schon fast komplett beseitigt ist und nicht um imaginäre freunde.

@define
dann gibts nach deiner logik auch keine strahlung? ja klar

Holdings schrieb:dann gibts nach deiner logik auch keine strahlung? ja klar

wtf, was hat das Spaghettimonster, äh, ich meine Gott mit Strahlung zu tun?!

@Assassine
beides kann man net sehen meinte ich damit

@Holdings
OK, trotzdem sinnlos^^

@Holdings
Strahlung kann man messen.

@Kirschi
und die ergebnisse gottes sieht man ja wohl

@Holdings
Lass uns doch per PN weiter diskutieren. Auf Ot hat hier niemand Lust.

@emodul

Danke für den informativen Beitrag. :)


Gruß greenkeeper

Randall Munroe, Zeichner der Comicreihe "xkcd", hat sich dieser Frage in seinem neuesten Cartoon angenommen. Mit einem Strichmännchen, das sich mit einem Server unterhält, illustriert er die Sicherheitslücke: Das Männchen schickt dem Rechner eine Nachricht, um zu sehen, ob die Verbindung ziwschen beiden noch besteht. Sie setzt sich aus drei Teilen zusammen: Der Frage "Bist du noch da?", einem Wort, mit dem der Computer antworten soll, und der Zeichenzahl dieses Wortes. Der "Heartbleed"-Fehler besteht darin, dass man dem Server auch eine Zeichenzahl schicken kann, die sehr viel größer ist, als die der gewünschten Antwort. Ein Beispiel: "Antworte mit 'Hut', in 500 Zeichen." Darauf antwortet der Computer mit dem Wort "Hut" - und weiteren 497 Zeichen, die sich in seinem Speicher befinden. Er gibt also sehr viel mehr Informationen preis, als er sollte. Möglicherweise auch Passwörter, Kreditkartendaten oder andere geheime Nutzerinformationen.

@brausud
Ja den Comic habe ich auch gepostet. Leider wurde er irgendwie verschluckt...

Hier noch mal der Ganze:
Original anzeigen (0,2 MB)

Der sollte einen Preis bekommen für den Comic. So versteht man das ganze Problem wirklich gut.

Sehr Freundlich von den Herren der NSA.............

Weiterhin behält es sich die NSA aber aus Gründen der nationalen Sicherheit vor, Schwachstellen und Bugs für sich zu behalten, wenn sie von der Regierung entdeckt werden. Auch zu Zwecken der Strafverfolgung kann dieser Wissensvorsprung eingesetzt werden.

http://www.giga.de/extra/sicherheit/news/nsa-war-heartbleed-luecke-unbekannt/ (Archiv-Version vom 17.04.2014)

Sehr nett von den Findern die Lücke der Öffentlichkeit bekannt zu machen.
Man hätte für ein Exploit die diese Lücke ausnutzt bestimmt 1 Mio. Dollar oder mehr verlangen können :D

brausud schrieb am 14.04.2014:Weiterhin behält es sich die NSA aber aus Gründen der nationalen Sicherheit vor, Schwachstellen und Bugs für sich zu behalten, wenn sie von der Regierung entdeckt werden. Auch zu Zwecken der Strafverfolgung kann dieser Wissensvorsprung eingesetzt werden.

Würde mich nicht erstaunen, wenn es gar keine Schwachstellen oder Bugs brauchen würde. Kann mir gut vorstellen, dass es in Programmen (und Betriebssystemen) einprogrammierte Hintertüren gibt, welche in Zusammenarbeit mit den netten Herren von diesem Verein entstanden sind.

Eodul

Eleganter ist es aber solche Hintertüren nicht als offensichtliche Geheimfunktion einzuprogrammieren sondern durch absichtliche Sicherheitslücken zu ermöglichen.

Aber ich bezweifle ob da so viel gezielt eingebaut wird. Übliche Software ist einfach von Natur aus voll von Sicherheitslücken.
Es ist wie mit Rohstoffabbau. Fast überall in der Erde sind Rohstoffe. Man muss nur genug Investitionen tätigen um sie ans Tageslicht zu fördern.

Das geschieht teilweise schon durch den freien Markt. Sogenannte IT Sicherheits Unternehmen, wie das französische Unternehmen Vupen, beschäftigen Fachkräfte damit wertvolle Sicherheitslücken zu finden und dann für den höchst anbietenden zu verkaufen.