ausblenden > Netzwerk, Internet, Provider

Schwerer Fehler in OpenSSL

(1/10) > >>

MacFlieger:
In der aktuellen OpenSSL-Version ist ein sehr schwerer Fehler gefunden worden (etwas reißerischer Titel bei heise):
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

Hier kann jeder jeden betroffenen Server dazu bringen, im bis zu 64KB aus seinem RAM an Daten zu schicken, ohne dass das irgendwo auffällt oder nachvollzogen werden kann. In diesen Daten sind dann die eigentlich geheimen Zertifikate enthalten oder auch Daten aus aktuellen Verbindungen. Mit diesen Zertifikaten ist es dann möglich, jede verschlüsselte Verbindung (auch aus der Vergangenheit) zu entschlüsseln.

D.h. bei allen Servern mit der betroffenen Version muss man davon ausgehen, dass die Zertifikate erbeutet wurden und sämtliche aufgezeichnete Kommunikation auch im Nachhinein entschlüsselt werden kann. Wahrlich ein Horrorszenario vor allem wenn man betrachtet, dass Geheimdienste gerade verschlüsselte Verbindungen speichern, um diese nachträglich irgendwann mal entschlüsseln zu können.

Betroffen sind also Verbindungen über HTTPS, VPN...

SSL-Gau: So testen Sie Programme und Online-Dienste

Aber auch wenn die Dienste das Update eingespielt haben und daher die Lücke jetzt(!) geschlossen ist, besteht das Problem weiterhin solange, wie die dort benutzten Zertifikate noch gültig sind bzw. weiter verwendet werden.

Einmal mehr zeigt sich, dass Clouds keine gute Idee sind, selbst wenn alles verschlüsselt wird...

radneuerfinder:
http://m.heise.de/security/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
http://m.heise.de/security/meldung/Heartbleed-Yahoo-und-Web-de-raten-zum-Passwortwechsel-2167630.html

http://m.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html

Florian:
Der blanke Wahnsinn, jetzt sollen also die Kunden alle ihre irgendwann einmal registrierten Accounts überprüfen. Und noch dazu wird nicht aufgeklärt. Und manche Firmen wechseln auch das Zertifikat nicht! 

So nach und nach vergeht mir echt die Lust am Internet.

radneuerfinder:
http://m.heise.de/security/meldung/Spionage-Botnet-nutzte-Heartbleed-Luecke-schon-vor-Monaten-aus-2167934.html

MacFlieger:
Und ich muss zugeben, dass mich diese Nachrichten wesentlich stärker verunsichern und betreffen, als die angeblich gehackten Mail-Accounts.

Hier gibt es saubere Hintergrundinfos, was wo geschehen sein kann, wer wie betroffen sein kann, etc.

Der Bug ist allerdings heftig. Vor allem, weil ein Abgreifen der Daten null Spuren hinterlässt und den Server auch überhaupt nicht beinträchtigt oder stört.

Edit:
Das passt auch sehr gut zu der ganzen Thematik.

Navigation

[0] Themen-Index

[#] Nächste Seite

Antwort