Forum

Re: Schwerer Fehler in OpenSSL
Antwort #15: April 12, 2014, 08:06:25
Ist doch auch schön einfach und passt immer.
Den Geheimdiensten traut doch sowieso jeder alles zu.
Re: Schwerer Fehler in OpenSSL
Antwort #16: April 12, 2014, 08:34:31
Man muss auf jeden Fall damit rechnen, dass sie davon wußten. Spätestens nach Bekanntwerden des Bugs, hatten sie einige Zeit noch schnell alle Kräfte auf das Sammeln von Informationen zu setzen. Man beachte, dass mit einem erfolgreichen Angriff auch die in der Vergangenheit gesammelten verschlüsselten Übertragungen nachträglich entschlüsselt werden können. Das dürfte ein großer Anreiz sein, selbst nur die wenigen Stunden/Tage intensiv zu nutzen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #17: April 14, 2014, 23:57:25
Ich habe kaum Nachrichten bekommen von den verschiedenen Firmen. Dabei sollte ja wohl das Wenigste sein, mitzuteilen, ob man sein Passwort ändern kann und soll.
Dieser Test nutzt auch nichts, denn das eine Seite jetzt sicher ist, sagt ja nicht über die Vergangenheit.

Oder soll ich jeweils die Zertifikate anschauen, ob sie erneuert wurden? Sind sie vom 9 . oder 10.4. 2014 scheint ja alles klar, aber sonst spare ich mir das, weil das neue Passwort ja wieder gelesen werden könnte, trotz Bug-Beseitigung, denn der Private Key des Servers ist ja u.U. bekannt…

Bin wirklich enttäuscht über die allermeisten Seitenbetreiber.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Schwerer Fehler in OpenSSL
Antwort #18: April 15, 2014, 18:54:40
Öfters sind aber diese Nachrichten selbst das Problem:
http://www.golem.de/news/phishing-mail-bsi-warnt-vor-bsi-warnung-1404-105891.html
« Letzte Änderung: April 15, 2014, 18:58:01 von radneuerfinder »
Re: Schwerer Fehler in OpenSSL
Antwort #19: April 16, 2014, 12:44:10
Nach Lesen dieses threads sowie Lesen diverser Meldungen im web bin ich auch nicht schlauer geworden, eher mehr verwirrt.

Muss man was machen?
Sollte man was machen?
Braucht man nichts zu machen?

Hilfreich wäre ein Art Entscheidungsmatrix oder Struktur - Wenn > Dann - wie man vorgehen muss oder sollte?
Evtl. gibt es so etwas im web?
Fand bisher aber nix.

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Schwerer Fehler in OpenSSL
Antwort #20: April 16, 2014, 13:25:39
Der Rat offizieller Stellen lautet:

Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html
Re: Schwerer Fehler in OpenSSL
Antwort #21: April 16, 2014, 13:32:24
Der Rat offizieller Stellen lautet:

Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html

Wie ist es denn bei Apfelinsel?

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Schwerer Fehler in OpenSSL
Antwort #22: April 16, 2014, 13:40:25
Wer nicht beim DiensteAnbieter nachfragen möchte, der kann auch über mittlerweile eingerichtete Testseiten nachforschen ob der SSL Fehler behoben ist:
http://www.heise.de/security/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html

Ich ergänze, und man sollte testen ob das SeitenZertifikat erneuert wurde, also ein Datum neuer als 08.04.2014 hat:
http://www.heise.de/security/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html


Irgendwo habe ich aufgeschnappt, daß geschätzt 70 % aller https/SSL Übertragungen betroffen sein sollen. Deshalb dürfte eine vollständige Negativ- oder PositivListe* schwer werden:
http://www.stern.de/digital/online/sicherheitsluecke-heartbleed-wo-sie-sofort-ihr-passwort-aendern-muessen-2102570.html


*von den deutschen Banken hätte ich aber gerne eine Auskunft wer (nicht) betroffen ist
« Letzte Änderung: April 16, 2014, 14:12:17 von radneuerfinder »
Re: Schwerer Fehler in OpenSSL
Antwort #23: April 16, 2014, 13:48:07
Wie ist es denn bei Apfelinsel?

Ist nicht betroffen, da kein HTTPs verwendet wird. Dein Kennwort geht sowieso unverschlüsselt im Klartext über die Leitung. :)

Zur ursprünglichen Frage:

Es ist leider relativ einfach:
Wenn Du einen Dienst (Web, Mail oder sonstwas) nutzt, welcher OpenSSL in der betroffenen Version verwendet hat, dann solltest Du Kennwörter tauschen, nachdem die ein Update gemacht haben und ihre Zertifikate erneuert haben.

Ich nehme die folgenden Fragen vorneweg:

Wie kann ich feststellen, ob ein Dienst OpenSSL in der betroffenen Version verwendet hat?
Du selber direkt gar nicht. Es gibt nur Testverfahren, ob aktuell noch die betroffene Version genutzt wird. Aber selbst die sind nicht zuverlässig. Du könntest nur jeden Betreiber fragen, ob er betroffen war. Ob die auch alle überhaupt und dann noch richtig antworten...

Wie kann ich feststellen, dass ein Dienst ein Update gemacht hat und die Zertifikate erneuert hat?
siehe radneuerfinder

Effektiv:
Bevor man nun alle möglichen Dienste befragt und vielleicht bei manchen auch eine Antwort bekommt, sollte man alle Kennwörter wechseln. Der pragmatische Ansatz halt. Alles andere macht nur mehr Aufwand, bringt aber nicht mehr. :(
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Schwerer Fehler in OpenSSL
Antwort #24: April 16, 2014, 13:56:28
Mein Pragmatismus: wenigstens alle Kennwörter ändern, die mit Geld zu tun haben, also Shops, OnlineBaking, PayPal, etc.
Re: Schwerer Fehler in OpenSSL
Antwort #25: April 16, 2014, 13:56:49
Wie ist es denn bei Apfelinsel?

Ist nicht betroffen, da kein HTTPs verwendet wird. Dein Kennwort geht sowieso unverschlüsselt im Klartext über die Leitung. :)

Siehste mal wie einfach das ist.
Nur wenn in der URL ein https auftaucht.

Zur ursprünglichen Frage:

Es ist leider relativ einfach:
Wenn Du einen Dienst (Web, Mail oder sonstwas) nutzt, welcher OpenSSL in der betroffenen Version verwendet hat, dann solltest Du Kennwörter tauschen, nachdem die ein Update gemacht haben und ihre Zertifikate erneuert haben.

Wie definiert sich ein Dienst?
Durch https ?
s bedeutet doch secure.

Gibt es auch Dienste mit s die kein OpenSSL nutzen?

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Schwerer Fehler in OpenSSL
Antwort #26: April 16, 2014, 14:05:23
Wie definiert sich ein Dienst?

Als Dienst bezeichnet man in der Telekommunikation die Fähigkeit eines Telekommunikationsnetzes, Informationen einer bestimmten Art zu übertragen und zu vermitteln.

Zitat
https ?
s bedeutet doch secure.

ja

Zitat
Gibt es auch Dienste mit s die kein OpenSSL nutzen?

Ja. Wie oben angemerkt ca. 30 % sind nicht betroffen
Re: Schwerer Fehler in OpenSSL
Antwort #27: April 16, 2014, 14:10:41
@radneuerfinder

OK.

Ob http oder https sehe ich in Safari doch nur unter Einstellungen > Kennwörter?
Alle Seiten die dort mit https gelistet sind, könnten betroffen sein.
Jetzt mal unabhängig davon ob Problem schon behoben ist oder kein OpenSSL genutzt.

Jochen
_______
Wenn Du es eilig hast, gehe langsam.

Florian

  • Verderbliche Ware!
Re: Schwerer Fehler in OpenSSL
Antwort #28: April 16, 2014, 14:19:39
Es ist leider nicht ganz einfach, da wie gesagt viele Seitenbetreiber sich in Schweigen hüllen oder irgendwo in irgendeinem versteckten Blog Auskunft geben.

Denn bevor man das Passwort wechselt, müsste man eigentlich wissen, ob sie a) das Update für Open SSL eingespielt haben und b) das Zertifikat bzw. den Private Key gewechselt haben.
Denn a) alleine reicht nicht, da der Private Key vielleicht schon eingesehen wurde und so Angreifer weiterhin ausspähen können. Sprich, wechselt man das Passwort, wird es u.U. wieder vom Falschen gelesen.


Nach Lesen dieses threads sowie Lesen diverser Meldungen im web bin ich auch nicht schlauer geworden, eher mehr verwirrt.

Geht wohl allen so!


Zitat
Muss man was machen?

Ja, sind a) und b) gegeben, Passwort wechseln!

Zitat
Hilfreich wäre ein Art Entscheidungsmatrix oder Struktur - Wenn > Dann - wie man vorgehen muss oder sollte?

Info von Seitenbetreiber einholen (dessen Blog, per Mail etc.).

Keine Antwort -> Account löschen (schlechter Service).
Noch nichts gemacht oder nur a) oder b) -> Account löschen (schlechter Admin).
Er hat a) und b) gemacht -> Passwort ändern .

Ja, ist etwas drastisch, aber ich finde es angemessen. Der Bug unterminiert praktisch den gesamten sicheren Internet-Austausch und -Handel. Wer jetzt noch nicht aufgewacht ist, dessen Kunde will ich nicht sein. 


Wir können hier ja eine Liste machen, wenn wir schon Infos haben.

Anscheinend nicht betroffen

icloud.com und apple stores
evernote
Twitter
Banken
Amazon
Microsoft

Fehler beseitigt, Zertifikat erneuert -> Passwort ändern:

web.de, gmx.net 
posteo
telekom-seiten
gmail
yahoo
macbay.de
cyberport.de
gravis.de
dropbox
soundcloud


Es gibt natürlich unzählige kleine Online-Shops und gesicherte Seiten, Vollständigkeit sollten wir also nicht anstreben. :)

_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Schwerer Fehler in OpenSSL
Antwort #29: April 16, 2014, 14:22:37
Ob http oder https sehe ich in Safari doch nur unter Einstellungen > Kennwörter?
Alle Seiten die dort mit https gelistet sind, könnten betroffen sein.
Jetzt mal unabhängig davon ob Problem schon behoben ist oder kein OpenSSL genutzt.

Genau, aber nur für Seiten bei denen sich Safari die Kennwörter gemerkt hat. Ansonsten sieht man es, wenn man eine Seite aufruft an dem s von https. Die meisten Browser blenden dann auch irgendwo ein Schloßsymbol ein.

(Es gibt auch Seiten, die verschlüsseln nur das Passwortfeld und nicht die ganze Seite, was man als Nutzer nur schlecht vorher oder überhaupt nachhalten kann. ::))


So ein Schmarrn diese ComputerTechnik!