Forum

Schwerer Fehler in OpenSSL
April 09, 2014, 09:44:21
In der aktuellen OpenSSL-Version ist ein sehr schwerer Fehler gefunden worden (etwas reißerischer Titel bei heise):
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

Hier kann jeder jeden betroffenen Server dazu bringen, im bis zu 64KB aus seinem RAM an Daten zu schicken, ohne dass das irgendwo auffällt oder nachvollzogen werden kann. In diesen Daten sind dann die eigentlich geheimen Zertifikate enthalten oder auch Daten aus aktuellen Verbindungen. Mit diesen Zertifikaten ist es dann möglich, jede verschlüsselte Verbindung (auch aus der Vergangenheit) zu entschlüsseln.

D.h. bei allen Servern mit der betroffenen Version muss man davon ausgehen, dass die Zertifikate erbeutet wurden und sämtliche aufgezeichnete Kommunikation auch im Nachhinein entschlüsselt werden kann. Wahrlich ein Horrorszenario vor allem wenn man betrachtet, dass Geheimdienste gerade verschlüsselte Verbindungen speichern, um diese nachträglich irgendwann mal entschlüsseln zu können.

Betroffen sind also Verbindungen über HTTPS, VPN...

SSL-Gau: So testen Sie Programme und Online-Dienste

Aber auch wenn die Dienste das Update eingespielt haben und daher die Lücke jetzt(!) geschlossen ist, besteht das Problem weiterhin solange, wie die dort benutzten Zertifikate noch gültig sind bzw. weiter verwendet werden.

Einmal mehr zeigt sich, dass Clouds keine gute Idee sind, selbst wenn alles verschlüsselt wird...
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #2: April 11, 2014, 00:13:57
Der blanke Wahnsinn, jetzt sollen also die Kunden alle ihre irgendwann einmal registrierten Accounts überprüfen. Und noch dazu wird nicht aufgeklärt. Und manche Firmen wechseln auch das Zertifikat nicht! 

So nach und nach vergeht mir echt die Lust am Internet.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Schwerer Fehler in OpenSSL
Antwort #4: April 11, 2014, 10:08:13
Und ich muss zugeben, dass mich diese Nachrichten wesentlich stärker verunsichern und betreffen, als die angeblich gehackten Mail-Accounts.

Hier gibt es saubere Hintergrundinfos, was wo geschehen sein kann, wer wie betroffen sein kann, etc.

Der Bug ist allerdings heftig. Vor allem, weil ein Abgreifen der Daten null Spuren hinterlässt und den Server auch überhaupt nicht beinträchtigt oder stört.

Edit:
Das passt auch sehr gut zu der ganzen Thematik.
« Letzte Änderung: April 11, 2014, 10:11:27 von MacFlieger »
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Schwerer Fehler in OpenSSL
Antwort #5: April 11, 2014, 10:55:05
http://www.golem.de/news/heartbleed-apple-nutzer-sind-nicht-betroffen-1404-105803.html

Allerdings gibt es einige Programme und Apps die hier nicht auf Apple Routinen des Betriebssystems zurück greifen, sondern ihre eigene - und damit wahrscheinlich die in den letzten 2 Jahren schadhafte - Version von OpenSSL mitbringen.
« Letzte Änderung: April 11, 2014, 10:58:10 von radneuerfinder »
Re: Schwerer Fehler in OpenSSL
Antwort #7: April 11, 2014, 13:16:16
heartbleed-apple-nutzer-sind-nicht-betroffen

Ist das eine Falschmeldung, weil der Redakteur die deutsche Sprache nicht beherrscht, oder sind Apple Geräte die eine betroffene HTTPS Seite/Dienst benutzen tatsächlich imun, weil sie die SSL Verbindung ohne Nutzung des schadhaften Codes (auf beiden Seiten?) aufbauen ???
Re: Schwerer Fehler in OpenSSL
Antwort #8: April 11, 2014, 14:36:33
Eine "ungenaue" Übersetzung.

AFAIK:
Angegriffen werden können direkt nur Server, die OpenSSL benutzen. D.h. wenn man auf seinem eigenen Mac einen Serverdienst laufen hat, der OpenSSL benutzt (z.B. SSH oder Apache mit SSL), dann stellt sich überhaupt die Frage, ob man angreifbar ist. In dem Fall lautet die Antwort: Nein, wenn das systemeigene OpenSSL verwendet wird, da da eine ältere Version ohne den Fehler ist.

Als normaler Benutzer, der meist nur als Client fungiert, stellt sich die Frage, ob man angreifbar ist, nicht.

Soweit dann richtig, dass OS X-Nutzer direkt nicht betroffen sind.

Aber die Daten der OS X-Nutzer sind trotzdem nicht sicher, denn die kommunizieren mit angreifbaren Servern und so kann jemand an Deine Kennwörter oder Daten kommen, indem er den server fragt. Oder über das Serverzertifikat Deine verschlüsselte Verbindung entschlüsseln kann...

Also effektiv: Es ist völlig egal, welches System man nutzt.
Die Frage des Systems ist nur dann wichtig, wenn man einen Server betreibt, weil man den evtl. updaten muss.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Schwerer Fehler in OpenSSL
Antwort #9: April 11, 2014, 15:37:58
Also auf deutsch:
Apple Nutzer sind genau so betroffen wie alle anderen Nutzer auch - was für mich die Aussage der Überschrift in ihr exaktes Gegenteil verkehrt.  ::)
Re: Schwerer Fehler in OpenSSL
Antwort #10: April 11, 2014, 15:58:55
Genau.

Nur Apple-Nutzer, die Server betreiben, nicht als Serverbetreiber. :)
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Schwerer Fehler in OpenSSL
Antwort #11: April 11, 2014, 16:26:24
Argh, gut dass ich AFAIK geschrieben habe. Obiges von mir enthält einen Fehler.
Nicht nur Server können angegriffen werden, sondern auch Clients.
Bezgl. Macs bleibt es aber gleich. Die Browser verwenden kein OpenSSL und für die anderen Programme gilt: Die OpenSSL Version in OS X ist zu alt.

Außerdem ist es viel einfacher und effektiver den Server anzugreifen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #12: April 11, 2014, 18:37:47
Wie können Clients angegriffen werden? Doch nur über manipulierte bzw. Server von bösen Leuten, oder?
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Schwerer Fehler in OpenSSL
Antwort #13: April 11, 2014, 19:09:47
So wie ich es verstanden habe, ja.
Deshalb ist der Angriff auf den Server auch viel interessanter und einfacher.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Schwerer Fehler in OpenSSL
Antwort #14: April 11, 2014, 22:19:04
_______
«Das Internet? Gibt's diesen Blödsinn immer noch?»  (Homer Simpson)