Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Der Heartbleed Bug bedroht das ganze Internet, weil er in OpenSSL gefunden wurde und das wiederum sehr weit verbreitet ist. Obendrein ist die Sicherheitslücke als sehr kritisch einzustufen, was die Situation verschärft. Das Leck wurde heute gestopft, doch die Gefahr ist damit noch nicht gebannt.

[size=-2]Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und NICHT im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt. Sollten Sie Fehler in einer News finden, schicken Sie diese bitte an online@pcgameshardware.de mit einem aussagekräftigen Betreff.[/size]


lastpost-right.png
Zurück zum Artikel: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.

Viel Spass mit eurer End-to-End Verschlüsselung ;)

Ich hab heute auch beim 100ten Zertifikat welches ich revoken und austauschen musste aufgehört zu zählen. Dazu kommen noch etliche von gestern, man kann das hier getrost als Super GAU für die Verschlüsselung in der modernen Kommunikation ansehen.
 
Zuletzt bearbeitet:

IiIHectorIiI

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.

Viel Spass mit eurer End-to-End Verschlüsselung ;)

Ich hab heute auch beim 100ten Zertifikat welches ich revoken und austauschen musste aufgehört zu zählen. Dazu kommen noch etliche von gestern, man kann das hier getrost als Super GAU für die Verschlüsselung in der modernen Kommunikation ansehen.

Scheint aber sonst niemanden weiter zu interessieren.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Scheint aber sonst niemanden weiter zu interessieren.

Sollte aber, den Leuten ist nur die Tragweite nicht bewusst, oder sie interessieren sich einfach nicht dafür, was sehr sehr schade ist, denn es geht um ihre Sicherheit und gerade in einem PC Forum sollte mehr Interesse da sein. Vor allem, weil nicht nur Server sondern auch viele Clients betroffen sind.
 
C

Crush182

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Also iwie habe ich auch gerade das Gefühl, dass dieses Problem in der Versenkung verschwindet :hmm:

Ich bin gerade nur durch Zufall drüber gestolpert.
Liegt das daran, dass es eig. doch nicht so schlimm ist wie es dargestellt wird oder wird`s einfach nicht beachtet?

Also für mich klingt das ja so als ob die openSSL verschlüsselung quasi unbrauchbar ist und man am besten alle PW`s von Seiten, welche diese
nutzen, ändern sollte?! -Oder liege ich da falsch? ;)

(Welche Seiten sind das denn überhaupt alles?)
 

Olstyle

Moderator
Teammitglied
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Also für mich klingt das ja so als ob die openSSL verschlüsselung quasi unbrauchbar ist und man am besten alle PW`s von Seiten, welche diese
nutzen, ändern sollte?! -Oder liege ich da falsch? ;)
Es gibt keine "openSSL Verschlüsselung". Was es gibt ist SSL und eine der Bibliotheken dafür namens openSSL.
Die Bibliothek ist in bestimmten Versionen Fehlerhaft, SSL an sich nicht.
(Welche Seiten sind das denn überhaupt alles?)
Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.
 
C

Crush182

Guest
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Es gibt keine "openSSL Verschlüsselung". Was es gibt ist SSL und eine der Bibliotheken dafür namens openSSL.
Die Bibliothek ist in bestimmten Versionen Fehlerhaft, SSL an sich nicht.

Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.

Ahh... ok -wieder was gelernt ;)

...Also kann man im Prinzip erstmal nur abwarten und hoffen das nix mit seinen PW`s passiert ist^^ -.-
 

Olstyle

Moderator
Teammitglied
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

So komisch es erstmal klingt: Wenn man weiß, dass ein Server betroffen ist sollte man erst was an den Daten dort tun wenn das Update aufgespielt wurde. Vorher können sie schließlich jederzeit wieder gelesen werden.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.

Da aber openssl die am weitesten verbreitete SSL Bibliothek ist und auf gut 80-90% aller Unix Server und Clients Verwendung findet und davon evtl. mind. 50% die Versionen 1.0.x nutzen, gehe ich davon aus, dass es eine hohe Zahl an betroffenen Systemen gibt.

Für alle die sicher gehen wollen, ob die von ihm besuchten Seiten noch betroffen sind oder es vielleicht nie waren, hier kann man die Seiten testen.
 

keinnick

Lötkolbengott/-göttin
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Scheint aber sonst niemanden weiter zu interessieren.

Das ist der Knackpunkt. Aber wenn es blöd kommt wird es noch mehr Leute "interessieren" (müssen) als man jetzt vielleicht glaubt. Die Tragweite ist immens und die Folgen sind deutlich schlimmer als "Facebook kauft Whatsapp!!!!111elf". Der Otto-Normal-User weiß das nur nicht...
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich sag ja, es sollte viel mehr Leute interessieren, Klick & Klick

Ergo ist jegliche Verschlüsselung mit den Mindfactory Servern fürn Ars*h.
 
Zuletzt bearbeitet:

RiodoroSaft

Gesperrt
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.

Wenn überhaupt auch nur ein Update erscheint. Das schlimme ist ja dass dieses Klientel auch noch meint sie hätten den super Durchblick und schimpfen über die Hersteller, denen Sicherheit noch was wert ist, wie z.B. Apple.
 

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Wenn überhaupt auch nur ein Update erscheint. Das schlimme ist ja dass dieses Klientel auch noch meint sie hätten den super Durchblick und schimpfen über die Hersteller, denen Sicherheit noch was wert ist, wie z.B. Apple.
Ihr wisst aber schon, dass der HeartBleed-Bug nur die Server-Seite der SSL-Verschlüsselung betrifft? ^^ Auf einem Smartphone oder Heim-PC, der aus der Natur der Sache immer nur ein Client sein wird, muss nichts aktualisiert werden. Ist euch nicht aufgefallen, dass es keine panischen Updates aller Client-Internet-Programme (Firefox, etc.) gab?

Lediglich die Server-Betreiber (Threema, etc.) müssen den Patch für OpenSSL aufspielen, und ihre Private Keys erneuern. Auf dem Client muss man höchstens die alten Zertifikate (die sich auf die möglicherweise kompromittierten Private Keys beziehen) deaktivieren.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Ihr wisst aber schon, dass der HeartBleed-Bug nur die Server-Seite der SSL-Verschlüsselung betrifft? ^^ Auf einem Smartphone oder Heim-PC, der aus der Natur der Sache immer nur ein Client sein wird, muss nichts aktualisiert werden. Ist euch nicht aufgefallen, dass es keine panischen Updates aller Client-Internet-Programme (Firefox, etc.) gab?

Lediglich die Server-Betreiber (Threema, etc.) müssen den Patch für OpenSSL aufspielen, und ihre Private Keys erneuern. Auf dem Client muss man höchstens die alten Zertifikate (die sich auf die möglicherweise kompromittierten Private Keys beziehen) deaktivieren.

Das ist leider völlig falsch, dein Client muss die lib genauso updaten wie der Server. Der HeartBleed Bug betrifft alle Geräte, die OpenSSL mit der Erweiterung TLS 1.2 nutzen, welches die Heartbeat Funktion unterstützt. Ansonsten könnte ein angreifender Server/Client von deinem Client ebenfalls einen Heartbeat fordern und den Speicher deines Clients über den Bug auslesen.

Ich darf an dieser Stelle mal Heise zitieren

Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.


OpenSSL ist eine Bibliothek und von daher ist auch ein Client betroffen der diese nutzt.
Der einzige Grund, warum dein Firefox oder Chrome kein Update möchte, ist, dass du ein Windows System einsetzt und deine Programme dort die Windows SSL-Bibliotheken nutzen und nicht OpenSSL.
Auf Android Geräten wäre, sofern OpenSSL 1.0.x eingesetzt wurde, eigentlich ein Update nötig, aber wie schon erwähnt werden wohl die wenigsten in diesen Genuss kommen, so dass ihre Geräte potenziell angreifbar bleiben.
 
Zuletzt bearbeitet:

turbosnake

Kokü-Junkie (m/w)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Bei einem Client muss ein Angreifer entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden.
Firefox und Chrome nutzen für SSL-Verbindungen NSS, der Internet Explorer setzt auf das von Windows mitgelieferte SChannel. Gleiches gilt für die viel verwendeten Mailprogramme Thunderbird und Outlook Express.
OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de
Deutlich weniger gefährlich als das von Seite der Server.:schief:
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de
Deutlich weniger gefährlich als das von Seite der Server.:schief:

Aber garantiere, jetzt wo schon hunderte oder tausende private Keys ausgelesen sein könnten, dass du dich wirklich auf die Seite verbindest oder dir jemand anhand des Zertifikates der Webseite und dem erbeuteten private Key nur die vermutete Seite vorgibt. Deshalb ist es ja auch so wichtig, das alte Zertifikat zu revoken und ein neues mit neuem Key zu erstellen.
 
Zuletzt bearbeitet:

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Das ist leider völlig falsch, dein Client muss die lib genauso updaten wie der Server. Der HeartBleed Bug betrifft alle Geräte, die OpenSSL mit der Erweiterung TLS 1.2 nutzen, welches die Heartbeat Funktion unterstützt. Ansonsten könnte ein angreifender Server/Client von deinem Client ebenfalls einen Heartbeat fordern und den Speicher deines Clients über den Bug auslesen.
Du hast natürlich im Grunde Recht, aber in der Praxis halt doch nicht, wie schon von TurboSnake angemerkt. Da ein Client nicht die ganze Zeit auf eingehende Verbindungen wartet (denn sonst wäre es ja ein Server ^^), kann nicht einfach jemand von außen ankommen, und sagen "Ich kompromittiere jetzt mal diesen Client". Die einzige Möglichkeit, wie ein Client Opfer des Angriffes werden könnte, ist dass er sich von sich aus mit einem bösartigen Server verbindet, welcher dann eine bösartige Heartbeat-Aufforderung schickt. Dazu reicht es natürlich nicht, dass der Server vorher selber mit der HeartBeat-Attacke kompromittiert wurde. Denn es muss ja aktiv Schadcode auf dem Server laufen, der dem Client diese Aufforderung schickt.

Also: Wenn man Opfer einer Phishing/Man-in-the-Middle-Attacke wird, kann der bösartige Server den Bug beim Client ausnutzen. Wenn man aber als "schlauer Client" dafür sorgt, dass man sich nicht mit bösartigen Servern verbindet (wie auch immer man das anstellen will...), solange ist man sicher. Ein Angriff auf einen Client setzt voraus, dass der Client zu erst selbst einen Fehler macht.

Edit: Und gerade bei der Smartphone/Threema-Sache, durch die unser Gespräch startete: Wie soll denn dort eine Phishing-Attacke ablaufen? Der Threema-Client auf dem Smartphone verbindet sich mittels Hostname mit dem Threema-Server. Damit da was schief geht, müsste entweder der DNS-Server gehackt sein, oder der Threema-Server selbst gehackt sein (dann wäre die Sicherheit sowieso dahin). Beides eher unwahrscheinlich.
 

Toffelwurst

Software-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Du hast natürlich im Grunde Recht, aber in der Praxis halt doch nicht, wie schon von TurboSnake angemerkt. Da ein Client nicht die ganze Zeit auf eingehende Verbindungen wartet (denn sonst wäre es ja ein Server ^^), kann nicht einfach jemand von außen ankommen, und sagen "Ich kompromittiere jetzt mal diesen Client". Die einzige Möglichkeit, wie ein Client Opfer des Angriffes werden könnte, ist dass er sich von sich aus mit einem bösartigen Server verbindet, welcher dann eine bösartige Heartbeat-Aufforderung schickt. Dazu reicht es natürlich nicht, dass der Server vorher selber mit der HeartBeat-Attacke kompromittiert wurde. Denn es muss ja aktiv Schadcode auf dem Server laufen, der dem Client diese Aufforderung schickt.

Also: Wenn man Opfer einer Phishing/Man-in-the-Middle-Attacke wird, kann der bösartige Server den Bug beim Client ausnutzen. Wenn man aber als "schlauer Client" dafür sorgt, dass man sich nicht mit bösartigen Servern verbindet (wie auch immer man das anstellen will...), solange ist man sicher. Ein Angriff auf einen Client setzt voraus, dass der Client zu erst selbst einen Fehler macht.

Was du hier beschreibst ähnelt Security by Obscurity, nach dem Motto mir wird schon nichts passieren. Und beschränke das nicht nur auf das aktive Ansurfen von Webseiten. Denk an all die Apps, die im Hintergrund selbstständig eine SSL Verbindung aufbauen zum Syncen oder deren Server in der Lage sind zu "pushen" und eine Verbindung vom Server zum Client und nicht vom Client zu Server auf zu bauen. Da es sich bei OpenSSL nicht um klassische Cleint/Server-Software handelt, sondern um eine Bibliothek, die von allen möglichen Programmen und Apps genutzt wird musst du von dem "solange ich nichts aktiv ansurfe passiert mir nichts" Gedanken weg kommen.

Edit: Und gerade bei der Smartphone/Threema-Sache, durch die unser Gespräch startete: Wie soll denn dort eine Phishing-Attacke ablaufen? Der Threema-Client auf dem Smartphone verbindet sich mittels Hostname mit dem Threema-Server. Damit da was schief geht, müsste entweder der DNS-Server gehackt sein, oder der Threema-Server selbst gehackt sein (dann wäre die Sicherheit sowieso dahin). Beides eher unwahrscheinlich.

Die jüngste Vergangenheit sollte eigl. gezeigt haben, dass DNS Spoofing eine der leichtesten Übungen darstellt. Wenn dir auf deinem Android Smartphone jemand die hosts Datei manipuliert bist du froh, wenn wenigstens sein OpenSSL auf dem aktuellsten Stand wäre.
Außerdem wie weiter oben schon geschrieben, kann niemand sagen ob es nicht schon gekaperte Zertifikate gibt und sich dann ein potentieller Angreifer als jemand ausgeben kann, der er gar nicht ist, da er durch fehlendes revoken der Zertifikate von Heartbleed betroffenen Servern munter über die Identität der eigl. Website verfügen kann.

Daher finde ich es auch traurig, dass ein Unternehmen wie Mindfactory es nicht innerhalb von 48h nach Veröffentlichung des Patches schaffen den Webserver zu patchen und ein neues Zertifikat einzuspielen.
 
Zuletzt bearbeitet:

turbosnake

Kokü-Junkie (m/w)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Man kann auch über AV Programme einbrechen oder sie zumindest recht leicht abschießen.:schief:
Recommented content - Youtube An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. For more information go to the privacy policy.
 

Brehministrator

BIOS-Overclocker(in)
AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web

Was du hier beschreibst ähnelt Security by Obscurity, nach dem Motto mir wird schon nichts passieren. Und beschränke das nicht nur auf das aktive Ansurfen von Webseiten. Denk an all die Apps, die im Hintergrund selbstständig eine SSL Verbindung aufbauen zum Syncen oder deren Server in der Lage sind zu "pushen" und eine Verbindung vom Server zum Client und nicht vom Client zu Server auf zu bauen. Da es sich bei OpenSSL nicht um klassische Cleint/Server-Software handelt, sondern um eine Bibliothek, die von allen möglichen Programmen und Apps genutzt wird musst du von dem "solange ich nichts aktiv ansurfe passiert mir nichts" Gedanken weg kommen.
Es gibt diese Risiken schon, das will ich nicht bestreiten. Es ist halt m.E. trotzdem nicht so "akut", wie es auf den Servern ist. Es gibt zwar all diese Hintergrunddienste, aber letztlich muss trotzdem einer dieser Dienste absichtlich oder versehentlich Kontakt zu einem bösartig manipulierten Server aufnehmen, damit etwas droht. In die betroffenen Server kann man hingegen "einfach so einmarschieren" :ugly:

Ja, es wird interessant sein zu sehen, welche Smartphone-Hersteller Android-Fixes mit gefixter OpenSSL rausgeben. Leider sind Apps in Android ja keine echten Binärdateien. Sonst könnte einfach der App-Hersteller die aktuelle OpenSSL statisch einlinken, und wäre von der veralteten Betriebssystem-Version unabhängig. Geht ja aber leider so nicht.

Die jüngste Vergangenheit sollte eigl. gezeigt haben, dass DNS Spoofing eine der leichtesten Übungen darstellt. Wenn dir auf deinem Android Smartphone jemand die hosts Datei manipuliert bist du froh, wenn wenigstens sein OpenSSL auf dem aktuellsten Stand wäre.
Na jaa, das gilt aber nur für gerootete Android-Phones. Bei einem nicht gerooteten Phone kann keine App, und sei sie noch so bösartig, auf die /etc/hosts schreiben. Da ist bisher auch keine Sicherheitslücke bekannt, die das ermöglicht - und wird wahrscheinlich auch nicht, denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed :ugly:
 
Oben Unten