• Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

PCGH-Redaktion

Kommentar-System
Jetzt ist Ihre Meinung gefragt zu Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Der Heartbleed Bug bedroht das ganze Internet, weil er in OpenSSL gefunden wurde und das wiederum sehr weit verbreitet ist. Obendrein ist die Sicherheitslücke als sehr kritisch einzustufen, was die Situation verschärft. Das Leck wurde heute gestopft, doch die Gefahr ist damit noch nicht gebannt.

[size=-2]Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und NICHT im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt. Sollten Sie Fehler in einer News finden, schicken Sie diese bitte an online@pcgameshardware.de mit einem aussagekräftigen Betreff.[/size]


Zurück zum Artikel: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.

Viel Spass mit eurer End-to-End Verschlüsselung ;)

Ich hab heute auch beim 100ten Zertifikat welches ich revoken und austauschen musste aufgehört zu zählen. Dazu kommen noch etliche von gestern, man kann das hier getrost als Super GAU für die Verschlüsselung in der modernen Kommunikation ansehen.
 
Zuletzt bearbeitet:

IiIHectorIiI

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.

Viel Spass mit eurer End-to-End Verschlüsselung ;)

Ich hab heute auch beim 100ten Zertifikat welches ich revoken und austauschen musste aufgehört zu zählen. Dazu kommen noch etliche von gestern, man kann das hier getrost als Super GAU für die Verschlüsselung in der modernen Kommunikation ansehen.

Scheint aber sonst niemanden weiter zu interessieren.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Scheint aber sonst niemanden weiter zu interessieren.

Sollte aber, den Leuten ist nur die Tragweite nicht bewusst, oder sie interessieren sich einfach nicht dafür, was sehr sehr schade ist, denn es geht um ihre Sicherheit und gerade in einem PC Forum sollte mehr Interesse da sein. Vor allem, weil nicht nur Server sondern auch viele Clients betroffen sind.
 
C

Crush182

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Also iwie habe ich auch gerade das Gefühl, dass dieses Problem in der Versenkung verschwindet :hmm:

Ich bin gerade nur durch Zufall drüber gestolpert.
Liegt das daran, dass es eig. doch nicht so schlimm ist wie es dargestellt wird oder wird`s einfach nicht beachtet?

Also für mich klingt das ja so als ob die openSSL verschlüsselung quasi unbrauchbar ist und man am besten alle PW`s von Seiten, welche diese
nutzen, ändern sollte?! -Oder liege ich da falsch? ;)

(Welche Seiten sind das denn überhaupt alles?)
 

Olstyle

Moderator
Teammitglied
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Also für mich klingt das ja so als ob die openSSL verschlüsselung quasi unbrauchbar ist und man am besten alle PW`s von Seiten, welche diese
nutzen, ändern sollte?! -Oder liege ich da falsch? ;)
Es gibt keine "openSSL Verschlüsselung". Was es gibt ist SSL und eine der Bibliotheken dafür namens openSSL.
Die Bibliothek ist in bestimmten Versionen Fehlerhaft, SSL an sich nicht.
(Welche Seiten sind das denn überhaupt alles?)
Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.
 
C

Crush182

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Es gibt keine "openSSL Verschlüsselung". Was es gibt ist SSL und eine der Bibliotheken dafür namens openSSL.
Die Bibliothek ist in bestimmten Versionen Fehlerhaft, SSL an sich nicht.

Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.

Ahh... ok -wieder was gelernt ;)

...Also kann man im Prinzip erstmal nur abwarten und hoffen das nix mit seinen PW`s passiert ist^^ -.-
 

Olstyle

Moderator
Teammitglied
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

So komisch es erstmal klingt: Wenn man weiß, dass ein Server betroffen ist sollte man erst was an den Daten dort tun wenn das Update aufgespielt wurde. Vorher können sie schließlich jederzeit wieder gelesen werden.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.

Da aber openssl die am weitesten verbreitete SSL Bibliothek ist und auf gut 80-90% aller Unix Server und Clients Verwendung findet und davon evtl. mind. 50% die Versionen 1.0.x nutzen, gehe ich davon aus, dass es eine hohe Zahl an betroffenen Systemen gibt.

Für alle die sicher gehen wollen, ob die von ihm besuchten Seiten noch betroffen sind oder es vielleicht nie waren, hier kann man die Seiten testen.
 

keinnick

Lötkolbengott/-göttin
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Scheint aber sonst niemanden weiter zu interessieren.

Das ist der Knackpunkt. Aber wenn es blöd kommt wird es noch mehr Leute "interessieren" (müssen) als man jetzt vielleicht glaubt. Die Tragweite ist immens und die Folgen sind deutlich schlimmer als "Facebook kauft Whatsapp!!!!111elf". Der Otto-Normal-User weiß das nur nicht...
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich sag ja, es sollte viel mehr Leute interessieren, Klick & Klick

Ergo ist jegliche Verschlüsselung mit den Mindfactory Servern fürn Ars*h.
 
Zuletzt bearbeitet:

RiodoroSaft

Gesperrt
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.

Wenn überhaupt auch nur ein Update erscheint. Das schlimme ist ja dass dieses Klientel auch noch meint sie hätten den super Durchblick und schimpfen über die Hersteller, denen Sicherheit noch was wert ist, wie z.B. Apple.
 

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Wenn überhaupt auch nur ein Update erscheint. Das schlimme ist ja dass dieses Klientel auch noch meint sie hätten den super Durchblick und schimpfen über die Hersteller, denen Sicherheit noch was wert ist, wie z.B. Apple.
Ihr wisst aber schon, dass der HeartBleed-Bug nur die Server-Seite der SSL-Verschlüsselung betrifft? ^^ Auf einem Smartphone oder Heim-PC, der aus der Natur der Sache immer nur ein Client sein wird, muss nichts aktualisiert werden. Ist euch nicht aufgefallen, dass es keine panischen Updates aller Client-Internet-Programme (Firefox, etc.) gab?

Lediglich die Server-Betreiber (Threema, etc.) müssen den Patch für OpenSSL aufspielen, und ihre Private Keys erneuern. Auf dem Client muss man höchstens die alten Zertifikate (die sich auf die möglicherweise kompromittierten Private Keys beziehen) deaktivieren.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ihr wisst aber schon, dass der HeartBleed-Bug nur die Server-Seite der SSL-Verschlüsselung betrifft? ^^ Auf einem Smartphone oder Heim-PC, der aus der Natur der Sache immer nur ein Client sein wird, muss nichts aktualisiert werden. Ist euch nicht aufgefallen, dass es keine panischen Updates aller Client-Internet-Programme (Firefox, etc.) gab?

Lediglich die Server-Betreiber (Threema, etc.) müssen den Patch für OpenSSL aufspielen, und ihre Private Keys erneuern. Auf dem Client muss man höchstens die alten Zertifikate (die sich auf die möglicherweise kompromittierten Private Keys beziehen) deaktivieren.

Das ist leider völlig falsch, dein Client muss die lib genauso updaten wie der Server. Der HeartBleed Bug betrifft alle Geräte, die OpenSSL mit der Erweiterung TLS 1.2 nutzen, welches die Heartbeat Funktion unterstützt. Ansonsten könnte ein angreifender Server/Client von deinem Client ebenfalls einen Heartbeat fordern und den Speicher deines Clients über den Bug auslesen.

Ich darf an dieser Stelle mal Heise zitieren

Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.


OpenSSL ist eine Bibliothek und von daher ist auch ein Client betroffen der diese nutzt.
Der einzige Grund, warum dein Firefox oder Chrome kein Update möchte, ist, dass du ein Windows System einsetzt und deine Programme dort die Windows SSL-Bibliotheken nutzen und nicht OpenSSL.
Auf Android Geräten wäre, sofern OpenSSL 1.0.x eingesetzt wurde, eigentlich ein Update nötig, aber wie schon erwähnt werden wohl die wenigsten in diesen Genuss kommen, so dass ihre Geräte potenziell angreifbar bleiben.
 
Zuletzt bearbeitet:

turbosnake

Kokü-Junkie (m/w)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Bei einem Client muss ein Angreifer entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden.
Firefox und Chrome nutzen für SSL-Verbindungen NSS, der Internet Explorer setzt auf das von Windows mitgelieferte SChannel. Gleiches gilt für die viel verwendeten Mailprogramme Thunderbird und Outlook Express.
OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de
Deutlich weniger gefährlich als das von Seite der Server.:schief:
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de
Deutlich weniger gefährlich als das von Seite der Server.:schief:

Aber garantiere, jetzt wo schon hunderte oder tausende private Keys ausgelesen sein könnten, dass du dich wirklich auf die Seite verbindest oder dir jemand anhand des Zertifikates der Webseite und dem erbeuteten private Key nur die vermutete Seite vorgibt. Deshalb ist es ja auch so wichtig, das alte Zertifikat zu revoken und ein neues mit neuem Key zu erstellen.
 
Zuletzt bearbeitet:

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Das ist leider völlig falsch, dein Client muss die lib genauso updaten wie der Server. Der HeartBleed Bug betrifft alle Geräte, die OpenSSL mit der Erweiterung TLS 1.2 nutzen, welches die Heartbeat Funktion unterstützt. Ansonsten könnte ein angreifender Server/Client von deinem Client ebenfalls einen Heartbeat fordern und den Speicher deines Clients über den Bug auslesen.
Du hast natürlich im Grunde Recht, aber in der Praxis halt doch nicht, wie schon von TurboSnake angemerkt. Da ein Client nicht die ganze Zeit auf eingehende Verbindungen wartet (denn sonst wäre es ja ein Server ^^), kann nicht einfach jemand von außen ankommen, und sagen "Ich kompromittiere jetzt mal diesen Client". Die einzige Möglichkeit, wie ein Client Opfer des Angriffes werden könnte, ist dass er sich von sich aus mit einem bösartigen Server verbindet, welcher dann eine bösartige Heartbeat-Aufforderung schickt. Dazu reicht es natürlich nicht, dass der Server vorher selber mit der HeartBeat-Attacke kompromittiert wurde. Denn es muss ja aktiv Schadcode auf dem Server laufen, der dem Client diese Aufforderung schickt.

Also: Wenn man Opfer einer Phishing/Man-in-the-Middle-Attacke wird, kann der bösartige Server den Bug beim Client ausnutzen. Wenn man aber als "schlauer Client" dafür sorgt, dass man sich nicht mit bösartigen Servern verbindet (wie auch immer man das anstellen will...), solange ist man sicher. Ein Angriff auf einen Client setzt voraus, dass der Client zu erst selbst einen Fehler macht.

Edit: Und gerade bei der Smartphone/Threema-Sache, durch die unser Gespräch startete: Wie soll denn dort eine Phishing-Attacke ablaufen? Der Threema-Client auf dem Smartphone verbindet sich mittels Hostname mit dem Threema-Server. Damit da was schief geht, müsste entweder der DNS-Server gehackt sein, oder der Threema-Server selbst gehackt sein (dann wäre die Sicherheit sowieso dahin). Beides eher unwahrscheinlich.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Du hast natürlich im Grunde Recht, aber in der Praxis halt doch nicht, wie schon von TurboSnake angemerkt. Da ein Client nicht die ganze Zeit auf eingehende Verbindungen wartet (denn sonst wäre es ja ein Server ^^), kann nicht einfach jemand von außen ankommen, und sagen "Ich kompromittiere jetzt mal diesen Client". Die einzige Möglichkeit, wie ein Client Opfer des Angriffes werden könnte, ist dass er sich von sich aus mit einem bösartigen Server verbindet, welcher dann eine bösartige Heartbeat-Aufforderung schickt. Dazu reicht es natürlich nicht, dass der Server vorher selber mit der HeartBeat-Attacke kompromittiert wurde. Denn es muss ja aktiv Schadcode auf dem Server laufen, der dem Client diese Aufforderung schickt.

Also: Wenn man Opfer einer Phishing/Man-in-the-Middle-Attacke wird, kann der bösartige Server den Bug beim Client ausnutzen. Wenn man aber als "schlauer Client" dafür sorgt, dass man sich nicht mit bösartigen Servern verbindet (wie auch immer man das anstellen will...), solange ist man sicher. Ein Angriff auf einen Client setzt voraus, dass der Client zu erst selbst einen Fehler macht.

Was du hier beschreibst ähnelt Security by Obscurity, nach dem Motto mir wird schon nichts passieren. Und beschränke das nicht nur auf das aktive Ansurfen von Webseiten. Denk an all die Apps, die im Hintergrund selbstständig eine SSL Verbindung aufbauen zum Syncen oder deren Server in der Lage sind zu "pushen" und eine Verbindung vom Server zum Client und nicht vom Client zu Server auf zu bauen. Da es sich bei OpenSSL nicht um klassische Cleint/Server-Software handelt, sondern um eine Bibliothek, die von allen möglichen Programmen und Apps genutzt wird musst du von dem "solange ich nichts aktiv ansurfe passiert mir nichts" Gedanken weg kommen.

Edit: Und gerade bei der Smartphone/Threema-Sache, durch die unser Gespräch startete: Wie soll denn dort eine Phishing-Attacke ablaufen? Der Threema-Client auf dem Smartphone verbindet sich mittels Hostname mit dem Threema-Server. Damit da was schief geht, müsste entweder der DNS-Server gehackt sein, oder der Threema-Server selbst gehackt sein (dann wäre die Sicherheit sowieso dahin). Beides eher unwahrscheinlich.

Die jüngste Vergangenheit sollte eigl. gezeigt haben, dass DNS Spoofing eine der leichtesten Übungen darstellt. Wenn dir auf deinem Android Smartphone jemand die hosts Datei manipuliert bist du froh, wenn wenigstens sein OpenSSL auf dem aktuellsten Stand wäre.
Außerdem wie weiter oben schon geschrieben, kann niemand sagen ob es nicht schon gekaperte Zertifikate gibt und sich dann ein potentieller Angreifer als jemand ausgeben kann, der er gar nicht ist, da er durch fehlendes revoken der Zertifikate von Heartbleed betroffenen Servern munter über die Identität der eigl. Website verfügen kann.

Daher finde ich es auch traurig, dass ein Unternehmen wie Mindfactory es nicht innerhalb von 48h nach Veröffentlichung des Patches schaffen den Webserver zu patchen und ein neues Zertifikat einzuspielen.
 
Zuletzt bearbeitet:

turbosnake

Kokü-Junkie (m/w)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Man kann auch über AV Programme einbrechen oder sie zumindest recht leicht abschießen.:schief:
Recommented content - Youtube An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. For more information go to the privacy policy.
 

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Was du hier beschreibst ähnelt Security by Obscurity, nach dem Motto mir wird schon nichts passieren. Und beschränke das nicht nur auf das aktive Ansurfen von Webseiten. Denk an all die Apps, die im Hintergrund selbstständig eine SSL Verbindung aufbauen zum Syncen oder deren Server in der Lage sind zu "pushen" und eine Verbindung vom Server zum Client und nicht vom Client zu Server auf zu bauen. Da es sich bei OpenSSL nicht um klassische Cleint/Server-Software handelt, sondern um eine Bibliothek, die von allen möglichen Programmen und Apps genutzt wird musst du von dem "solange ich nichts aktiv ansurfe passiert mir nichts" Gedanken weg kommen.
Es gibt diese Risiken schon, das will ich nicht bestreiten. Es ist halt m.E. trotzdem nicht so "akut", wie es auf den Servern ist. Es gibt zwar all diese Hintergrunddienste, aber letztlich muss trotzdem einer dieser Dienste absichtlich oder versehentlich Kontakt zu einem bösartig manipulierten Server aufnehmen, damit etwas droht. In die betroffenen Server kann man hingegen "einfach so einmarschieren" :ugly:

Ja, es wird interessant sein zu sehen, welche Smartphone-Hersteller Android-Fixes mit gefixter OpenSSL rausgeben. Leider sind Apps in Android ja keine echten Binärdateien. Sonst könnte einfach der App-Hersteller die aktuelle OpenSSL statisch einlinken, und wäre von der veralteten Betriebssystem-Version unabhängig. Geht ja aber leider so nicht.

Die jüngste Vergangenheit sollte eigl. gezeigt haben, dass DNS Spoofing eine der leichtesten Übungen darstellt. Wenn dir auf deinem Android Smartphone jemand die hosts Datei manipuliert bist du froh, wenn wenigstens sein OpenSSL auf dem aktuellsten Stand wäre.
Na jaa, das gilt aber nur für gerootete Android-Phones. Bei einem nicht gerooteten Phone kann keine App, und sei sie noch so bösartig, auf die /etc/hosts schreiben. Da ist bisher auch keine Sicherheitslücke bekannt, die das ermöglicht - und wird wahrscheinlich auch nicht, denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed :ugly:
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Na jaa, das gilt aber nur für gerootete Android-Phones. Bei einem nicht gerooteten Phone kann keine App, und sei sie noch so bösartig, auf die /etc/hosts schreiben. Da ist bisher auch keine Sicherheitslücke bekannt, die das ermöglicht - und wird wahrscheinlich auch nicht, denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed :ugly:

Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt ;)
Gerade vor dem Hintergrund, dass Google Android immer mehr von der open Source Ecke wegnimmt.
denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed :ugly:
Das wäre kein Kernelproblem sondern nur ein Rechteproblem und da entstehen schnell Fehler die vielleicht nicht sofort auffallen.
 

IiIHectorIiI

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Sollte aber, den Leuten ist nur die Tragweite nicht bewusst, oder sie interessieren sich einfach nicht dafür, was sehr sehr schade ist, denn es geht um ihre Sicherheit und gerade in einem PC Forum sollte mehr Interesse da sein. Vor allem, weil nicht nur Server sondern auch viele Clients betroffen sind.

Das geringe Interesse für solche Themen ist leider exemplarisch für die Einstellung der großen Mehrheit der Internetnutzer. Es muss wohl erst so richtig krachen (sprich ins Geld gehn) ehe da ein Umdenken beginnt.
 

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt ;)
Gerade vor dem Hintergrund, dass Google Android immer mehr von der open Source Ecke wegnimmt.
Ja, von mir aus, damit kann ich mich abfinden :)
Das wäre kein Kernelproblem sondern nur ein Rechteproblem und da entstehen schnell Fehler die vielleicht nicht sofort auffallen.
Das geht zwar jetzt wirklich in den Kleinkram, aber wo sonst außer im Kernel soll denn so ein Problem liegen? Wenn die Datei root gehört und auch nur Schreibrechte von root hat (so ist es, hab grad mal auf meinem gerooteten Smartphone nachgesehen *g*), und nun noch dazu kommt, dass auf einem nicht gerooteten Android-Phone sich keiner als Root anmelden kann... Dann führen alle Möglichkeiten, die Datei doch noch zu manipulieren (entweder trotz Sperre root werden, oder die Rechte der Datei ändern, oder trotz fehlender Rechte schreiben) direkt über den Kernel. Wie sonst soll es denn zu so einem Rechteproblem kommen? Da der Besitzer root ist, kann niemand den Besitzer oder die Rechte modifizieren ;)
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Das geht zwar jetzt wirklich in den Kleinkram, aber wo sonst außer im Kernel soll denn so ein Problem liegen? Wenn die Datei root gehört und auch nur Schreibrechte von root hat (so ist es, hab grad mal auf meinem gerooteten Smartphone nachgesehen *g*), und nun noch dazu kommt, dass auf einem nicht gerooteten Android-Phone sich keiner als Root anmelden kann... Dann führen alle Möglichkeiten, die Datei doch noch zu manipulieren (entweder trotz Sperre root werden, oder die Rechte der Datei ändern, oder trotz fehlender Rechte schreiben) direkt über den Kernel. Wie sonst soll es denn zu so einem Rechteproblem kommen? Da der Besitzer root ist, kann niemand den Besitzer oder die Rechte modifizieren ;)

Da die ganzen herstellerangepassten Androidversionen alle nicht wirklich open Source und teilweise auf perverseste Art und Weise neu compiliert sind möchte ich nicht ausschließen, dass da Dateien die im Stock, Cyanogen, etc. Android root gehören nicht irgendwelche anderen Konstellationen in den Herstellerversionen aufweisen. Evtl. Flags für rwx falsch gesetzt, man kann ja nie wissen, dannn ist auch egal wem die Datei eigl. gehört. Aber für Stock und Cyanogen etc. hast du natürlich recht ;)
 

turbosnake

Kokü-Junkie (m/w)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt ;)
Dann gilt das also für jedes Programm und jeden Kontakt eines PC zur "Außenwelt" entweder durch das Internet oder direkten Kontakt über USB und ähnliches?
Dann kann man auch davon ausgehen das die Gefahr sich etwas einzufangen mit jedem Programm das auf diese Verbindungen Zugriff hat steigt.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Dann gilt das also für jedes Programm und jeden Kontakt eines PC zur "Außenwelt" entweder durch das Internet oder direkten Kontakt über USB und ähnliches?
Dann kann man auch davon ausgehen das die Gefahr sich etwas einzufangen mit jedem Programm das auf diese Verbindungen Zugriff hat steigt.

Richtig und deswegen sollte man bekannte Sicherheitslücken schließen, auch wenn die Gefahr für Clients nicht so hoch sein mag wie für Server. Man kann nie wissen, ob ein evtl. noch unbekannter Bug schon genutzt wird und dadurch die Gefahr für ungepatchte Clients auf einmal um Faktor 10 höher ist als für Server. Durch das patchen von OpenSSL könnte man dann beidem entgegenwirken.

Gott ich schreib total verworren, aber ich hoffe man versteht was ich meine :)
 

Olstyle

Moderator
Teammitglied
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Golem unter Anderem zu Android:
Was ist mit Android?

In der bei Android mitgelieferten OpenSSL-Version*wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen.*

Also für mich sieht es bis jetzt auch so aus, dass das Problem allgemein zwar riesig, gleichzeitig auf Client-Seite die Handlungsmöglichkeiten(und Bedarf) aber eher klein sind.
 

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Golem unter Anderem zu Android:

"In der bei Android mitgelieferten OpenSSL-Version*wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen.*"

Also für mich sieht es bis jetzt auch so aus, dass das Problem allgemein zwar riesig, gleichzeitig auf Client-Seite die Handlungsmöglichkeiten(und Bedarf) aber eher klein sind.
Das sind sehr gute Neuigkeiten :daumen: Danke für diese Info.
 

SchumiGSG9

PCGH-Community-Veteran(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Jetzt mein PW überall zu ändern macht keinen Sinn solange die Server wo ich mich Anmelde z.B. Steam als auch GMX, Web.de usw noch nicht gepatched wurden ... einzig Minecraft kann ich das pw schon ändern sehe ich das richtig oder falsch ?
 

keinnick

Lötkolbengott/-göttin
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Jetzt mein PW überall zu ändern macht keinen Sinn solange die Server wo ich mich Anmelde z.B. Steam als auch GMX, Web.de usw noch nicht gepatched wurden ... einzig Minecraft kann ich das pw schon ändern sehe ich das richtig oder falsch ?

Sofern die Server nicht gepatched sind kannst Du Dir die Änderung (noch) sparen. Zusätzlich sollten die Serverbetreiber auch ihre Zertifikate tauschen (Heartbleed SSL-GAU: Neue Zertifikate braucht das Land | heise Security) was Du als User allerdings nicht immer nachvollziehen kannst. Alles in allem ziemlich großer Mist, der da passiert ist.
 

bingo88

PCGH-Community-Veteran(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Und das alles wegen Missachtung von "Never ever trust user input". Da sind schon andere drüber gestolpert...
 
R

Rho

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Wenigstens zahlt sich jetzt das Geschäftsmodell von StartSSL so richtig aus. Kostenlose Zertifikate, aber 25 $ für den Widerruf. Das ist dann am Ende mehr als ein Vergleichbares Zertifikat bei einer anderen CA gekostet hätte. Im Gegensatz zu einigen anderen CAs sieht StartSSL aufgrund des Heartbleed-Bugs auch keinen Ausnahmefall, der das vorübergehende Aussetzen dieser Gebühr rechtfertigen würde. Es falle schließlich in den Verantwortungsbreich der Nutzer den privaten Schlüssel geheim zu halten und sichere Software zu verwenden. :D

https://cv.exbit.io/emails/startssl_heartbeat.txt
 
L

Laggy.NET

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Macht es eigentlich sinn, jetzt schon alle Passwörter zu ändern, solange noch nicht alle Server aktualisiert wurden?
 
B

buenzli2

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ja, echt eine Super Idee jetzt das Passwort zu ändern wo die Banken das Update noch nicht haben, LOL. In 5 Tagen frühstens. Oder jetzt und nachher jammer.
 

keinnick

Lötkolbengott/-göttin
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ja, echt eine Super Idee jetzt das Passwort zu ändern wo die Banken das Update noch nicht haben, LOL. In 5 Tagen frühstens. Oder jetzt und nachher jammer.

Warum in 5 Tagen? Frag Deine Bank doch einfach ob sie die Zertifikate bereits ausgetauscht haben. Die Lücke sollten Sie bereits geschlossen haben aber das kannst Du vorab selbst prüfen: Test your server for Heartbleed (CVE-2014-0160) "Meine" Bank hat das innerhalb eines Tages geschafft.

Falls Du eigentlich gar nicht weißt worum es bei dem Problem geht, kannst Du Dich natürlich vorab auch mal einlesen. :daumen:
 
L

Laggy.NET

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Es schadet nie sein Passwort zu ändern, vor allem in regelmäßigen Abständen ;)

Das tue ich sowieso. Aber aus rein logischer sicht, wenn ich jetzt sofort alle meine Passwörter ändere, aber auf einigen Servern die Lücke erst in einigen Tagen geschlossen ist, dann müsste ich, um sicher zu sein, dort nochmals das Passwort ändern, da das neue Passwort ja auch abgefangen werden kann, solange die Lücke da ist, wodruch die Prozedur für die Katz wäre. Also kann ich genauso gut gleich warten... und die Passwörter erst in einer Woche ändern.

Würde halt gerne wissen, ob diese Vorgehensweise halbwegs sinnvoll ist, oder ob man davon ausgehen kann, dass bereits heute schon quasi "alle" server wieder sicher sind. (ich gehe mal davon aus, dass das nicht der Fall ist)
 
B

buenzli2

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Warum in 5 Tagen? Frag Deine Bank doch einfach ob sie die Zertifikate bereits ausgetauscht haben. Die Lücke sollten Sie bereits geschlossen haben aber das kannst Du vorab selbst prüfen: Test your server for Heartbleed (CVE-2014-0160) "Meine" Bank hat das innerhalb eines Tages geschafft.

Falls Du eigentlich gar nicht weißt worum es bei dem Problem geht, kannst Du Dich natürlich vorab auch mal einlesen. :daumen:

Ich bin Informatiker an einem Gymnasium. ^^
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

So bekommt das doch schon gleich eine viel bessere Würze!
Klick
 
Oben Unten