Apfelinsel
Netzwerk, Internet, Provider => Thema gestartet von: MacFlieger am April 09, 2014, 09:44:21
-
In der aktuellen OpenSSL-Version ist ein sehr schwerer Fehler gefunden worden (etwas reißerischer Titel bei heise):
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL (http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html)
Hier kann jeder jeden betroffenen Server dazu bringen, im bis zu 64KB aus seinem RAM an Daten zu schicken, ohne dass das irgendwo auffällt oder nachvollzogen werden kann. In diesen Daten sind dann die eigentlich geheimen Zertifikate enthalten oder auch Daten aus aktuellen Verbindungen. Mit diesen Zertifikaten ist es dann möglich, jede verschlüsselte Verbindung (auch aus der Vergangenheit) zu entschlüsseln.
D.h. bei allen Servern mit der betroffenen Version muss man davon ausgehen, dass die Zertifikate erbeutet wurden und sämtliche aufgezeichnete Kommunikation auch im Nachhinein entschlüsselt werden kann. Wahrlich ein Horrorszenario vor allem wenn man betrachtet, dass Geheimdienste gerade verschlüsselte Verbindungen speichern, um diese nachträglich irgendwann mal entschlüsseln zu können.
Betroffen sind also Verbindungen über HTTPS, VPN...
SSL-Gau: So testen Sie Programme und Online-Dienste (http://www.heise.de/newsticker/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html)
Aber auch wenn die Dienste das Update eingespielt haben und daher die Lücke jetzt(!) geschlossen ist, besteht das Problem weiterhin solange, wie die dort benutzten Zertifikate noch gültig sind bzw. weiter verwendet werden.
Einmal mehr zeigt sich, dass Clouds keine gute Idee sind, selbst wenn alles verschlüsselt wird...
-
http://m.heise.de/security/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
http://m.heise.de/security/meldung/Heartbleed-Yahoo-und-Web-de-raten-zum-Passwortwechsel-2167630.html
http://m.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html
-
Der blanke Wahnsinn, jetzt sollen also die Kunden alle ihre irgendwann einmal registrierten Accounts überprüfen. Und noch dazu wird nicht aufgeklärt. Und manche Firmen wechseln auch das Zertifikat nicht!
So nach und nach vergeht mir echt die Lust am Internet.
-
http://m.heise.de/security/meldung/Spionage-Botnet-nutzte-Heartbleed-Luecke-schon-vor-Monaten-aus-2167934.html
-
Und ich muss zugeben, dass mich diese Nachrichten wesentlich stärker verunsichern und betreffen, als die angeblich gehackten Mail-Accounts.
Hier gibt es saubere Hintergrundinfos, was wo geschehen sein kann, wer wie betroffen sein kann, etc.
Der Bug ist allerdings heftig. Vor allem, weil ein Abgreifen der Daten null Spuren hinterlässt und den Server auch überhaupt nicht beinträchtigt oder stört.
Edit:
Das (http://www.geekculture.com/joyoftech/joyarchives/1986.html) passt auch sehr gut zu der ganzen Thematik.
-
http://www.golem.de/news/heartbleed-apple-nutzer-sind-nicht-betroffen-1404-105803.html
Allerdings gibt es einige Programme und Apps die hier nicht auf Apple Routinen des Betriebssystems zurück greifen, sondern ihre eigene - und damit wahrscheinlich die in den letzten 2 Jahren schadhafte - Version von OpenSSL mitbringen.
-
http://www.golem.de/news/synology-dsm-5-0-update-2-heartbleed-bugfix-legt-einige-nas-systeme-lahm-1404-105796.html
-
heartbleed-apple-nutzer-sind-nicht-betroffen
Ist das eine Falschmeldung, weil der Redakteur die deutsche Sprache nicht beherrscht, oder sind Apple Geräte die eine betroffene HTTPS Seite/Dienst benutzen tatsächlich imun, weil sie die SSL Verbindung ohne Nutzung des schadhaften Codes (auf beiden Seiten?) aufbauen ???
-
Eine "ungenaue" Übersetzung.
AFAIK:
Angegriffen werden können direkt nur Server, die OpenSSL benutzen. D.h. wenn man auf seinem eigenen Mac einen Serverdienst laufen hat, der OpenSSL benutzt (z.B. SSH oder Apache mit SSL), dann stellt sich überhaupt die Frage, ob man angreifbar ist. In dem Fall lautet die Antwort: Nein, wenn das systemeigene OpenSSL verwendet wird, da da eine ältere Version ohne den Fehler ist.
Als normaler Benutzer, der meist nur als Client fungiert, stellt sich die Frage, ob man angreifbar ist, nicht.
Soweit dann richtig, dass OS X-Nutzer direkt nicht betroffen sind.
Aber die Daten der OS X-Nutzer sind trotzdem nicht sicher, denn die kommunizieren mit angreifbaren Servern und so kann jemand an Deine Kennwörter oder Daten kommen, indem er den server fragt. Oder über das Serverzertifikat Deine verschlüsselte Verbindung entschlüsseln kann...
Also effektiv: Es ist völlig egal, welches System man nutzt.
Die Frage des Systems ist nur dann wichtig, wenn man einen Server betreibt, weil man den evtl. updaten muss.
-
Also auf deutsch:
Apple Nutzer sind genau so betroffen wie alle anderen Nutzer auch - was für mich die Aussage der Überschrift in ihr exaktes Gegenteil verkehrt. ::)
-
Genau.
Nur Apple-Nutzer, die Server betreiben, nicht als Serverbetreiber. :)
-
Argh, gut dass ich AFAIK geschrieben habe. Obiges von mir enthält einen Fehler.
Nicht nur Server können angegriffen werden, sondern auch Clients.
Bezgl. Macs bleibt es aber gleich. Die Browser verwenden kein OpenSSL und für die anderen Programme gilt: Die OpenSSL Version in OS X ist zu alt.
Außerdem ist es viel einfacher und effektiver den Server anzugreifen.
-
Wie können Clients angegriffen werden? Doch nur über manipulierte bzw. Server von bösen Leuten, oder?
-
So wie ich es verstanden habe, ja.
Deshalb ist der Angriff auf den Server auch viel interessanter und einfacher.
-
Verschwörungstheorie anyone?
http://www.spiegel.de/netzwelt/netzpolitik/heartbleed-nsa-soll-sicherheitsluecke-seit-zwei-jahren-nutzen-a-964032.html
-
Ist doch auch schön einfach und passt immer.
Den Geheimdiensten traut doch sowieso jeder alles zu.
-
Man muss auf jeden Fall damit rechnen, dass sie davon wußten. Spätestens nach Bekanntwerden des Bugs, hatten sie einige Zeit noch schnell alle Kräfte auf das Sammeln von Informationen zu setzen. Man beachte, dass mit einem erfolgreichen Angriff auch die in der Vergangenheit gesammelten verschlüsselten Übertragungen nachträglich entschlüsselt werden können. Das dürfte ein großer Anreiz sein, selbst nur die wenigen Stunden/Tage intensiv zu nutzen.
-
Ich habe kaum Nachrichten bekommen von den verschiedenen Firmen. Dabei sollte ja wohl das Wenigste sein, mitzuteilen, ob man sein Passwort ändern kann und soll.
Dieser Test nutzt auch nichts, denn das eine Seite jetzt sicher ist, sagt ja nicht über die Vergangenheit.
Oder soll ich jeweils die Zertifikate anschauen, ob sie erneuert wurden? Sind sie vom 9 . oder 10.4. 2014 scheint ja alles klar, aber sonst spare ich mir das, weil das neue Passwort ja wieder gelesen werden könnte, trotz Bug-Beseitigung, denn der Private Key des Servers ist ja u.U. bekannt…
Bin wirklich enttäuscht über die allermeisten Seitenbetreiber.
-
Öfters sind aber diese Nachrichten selbst das Problem:
http://www.golem.de/news/phishing-mail-bsi-warnt-vor-bsi-warnung-1404-105891.html
-
Nach Lesen dieses threads sowie Lesen diverser Meldungen im web bin ich auch nicht schlauer geworden, eher mehr verwirrt.
Muss man was machen?
Sollte man was machen?
Braucht man nichts zu machen?
Hilfreich wäre ein Art Entscheidungsmatrix oder Struktur - Wenn > Dann - wie man vorgehen muss oder sollte?
Evtl. gibt es so etwas im web?
Fand bisher aber nix.
Jochen
-
Der Rat offizieller Stellen lautet:
Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html
-
Der Rat offizieller Stellen lautet:
Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html
Wie ist es denn bei Apfelinsel?
Jochen
-
Wer nicht beim DiensteAnbieter nachfragen möchte, der kann auch über mittlerweile eingerichtete Testseiten nachforschen ob der SSL Fehler behoben ist:
http://www.heise.de/security/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
Ich ergänze, und man sollte testen ob das SeitenZertifikat erneuert wurde, also ein Datum neuer als 08.04.2014 hat:
http://www.heise.de/security/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html
Irgendwo habe ich aufgeschnappt, daß geschätzt 70 % aller https/SSL Übertragungen betroffen sein sollen. Deshalb dürfte eine vollständige Negativ- oder PositivListe* schwer werden:
http://www.stern.de/digital/online/sicherheitsluecke-heartbleed-wo-sie-sofort-ihr-passwort-aendern-muessen-2102570.html
*von den deutschen Banken hätte ich aber gerne eine Auskunft wer (nicht) betroffen ist
-
Wie ist es denn bei Apfelinsel?
Ist nicht betroffen, da kein HTTPs verwendet wird. Dein Kennwort geht sowieso unverschlüsselt im Klartext über die Leitung. :)
Zur ursprünglichen Frage:
Es ist leider relativ einfach:
Wenn Du einen Dienst (Web, Mail oder sonstwas) nutzt, welcher OpenSSL in der betroffenen Version verwendet hat, dann solltest Du Kennwörter tauschen, nachdem die ein Update gemacht haben und ihre Zertifikate erneuert haben.
Ich nehme die folgenden Fragen vorneweg:
Wie kann ich feststellen, ob ein Dienst OpenSSL in der betroffenen Version verwendet hat?
Du selber direkt gar nicht. Es gibt nur Testverfahren, ob aktuell noch die betroffene Version genutzt wird. Aber selbst die sind nicht zuverlässig. Du könntest nur jeden Betreiber fragen, ob er betroffen war. Ob die auch alle überhaupt und dann noch richtig antworten...
Wie kann ich feststellen, dass ein Dienst ein Update gemacht hat und die Zertifikate erneuert hat?
siehe radneuerfinder
Effektiv:
Bevor man nun alle möglichen Dienste befragt und vielleicht bei manchen auch eine Antwort bekommt, sollte man alle Kennwörter wechseln. Der pragmatische Ansatz halt. Alles andere macht nur mehr Aufwand, bringt aber nicht mehr. :(
-
Mein Pragmatismus: wenigstens alle Kennwörter ändern, die mit Geld zu tun haben, also Shops, OnlineBaking, PayPal, etc.
-
Wie ist es denn bei Apfelinsel?
Ist nicht betroffen, da kein HTTPs verwendet wird. Dein Kennwort geht sowieso unverschlüsselt im Klartext über die Leitung. :)
Siehste mal wie einfach das ist.
Nur wenn in der URL ein https auftaucht.
Zur ursprünglichen Frage:
Es ist leider relativ einfach:
Wenn Du einen Dienst (Web, Mail oder sonstwas) nutzt, welcher OpenSSL in der betroffenen Version verwendet hat, dann solltest Du Kennwörter tauschen, nachdem die ein Update gemacht haben und ihre Zertifikate erneuert haben.
Wie definiert sich ein Dienst?
Durch https ?
s bedeutet doch secure.
Gibt es auch Dienste mit s die kein OpenSSL nutzen?
Jochen
-
Wie definiert sich ein Dienst?
Als Dienst bezeichnet man in der Telekommunikation die Fähigkeit eines Telekommunikationsnetzes, Informationen einer bestimmten Art zu übertragen und zu vermitteln.
https ?
s bedeutet doch secure.
ja
Gibt es auch Dienste mit s die kein OpenSSL nutzen?
Ja. Wie oben angemerkt ca. 30 % sind nicht betroffen
-
@radneuerfinder
OK.
Ob http oder https sehe ich in Safari doch nur unter Einstellungen > Kennwörter?
Alle Seiten die dort mit https gelistet sind, könnten betroffen sein.
Jetzt mal unabhängig davon ob Problem schon behoben ist oder kein OpenSSL genutzt.
Jochen
-
Es ist leider nicht ganz einfach, da wie gesagt viele Seitenbetreiber sich in Schweigen hüllen oder irgendwo in irgendeinem versteckten Blog Auskunft geben.
Denn bevor man das Passwort wechselt, müsste man eigentlich wissen, ob sie a) das Update für Open SSL eingespielt haben und b) das Zertifikat bzw. den Private Key gewechselt haben.
Denn a) alleine reicht nicht, da der Private Key vielleicht schon eingesehen wurde und so Angreifer weiterhin ausspähen können. Sprich, wechselt man das Passwort, wird es u.U. wieder vom Falschen gelesen.
Nach Lesen dieses threads sowie Lesen diverser Meldungen im web bin ich auch nicht schlauer geworden, eher mehr verwirrt.
Geht wohl allen so!
Muss man was machen?
Ja, sind a) und b) gegeben, Passwort wechseln!
Hilfreich wäre ein Art Entscheidungsmatrix oder Struktur - Wenn > Dann - wie man vorgehen muss oder sollte?
Info von Seitenbetreiber einholen (dessen Blog, per Mail etc.).
Keine Antwort -> Account löschen (schlechter Service).
Noch nichts gemacht oder nur a) oder b) -> Account löschen (schlechter Admin).
Er hat a) und b) gemacht -> Passwort ändern .
Ja, ist etwas drastisch, aber ich finde es angemessen. Der Bug unterminiert praktisch den gesamten sicheren Internet-Austausch und -Handel. Wer jetzt noch nicht aufgewacht ist, dessen Kunde will ich nicht sein.
Wir können hier ja eine Liste machen, wenn wir schon Infos haben.
Anscheinend nicht betroffen
icloud.com und apple stores
evernote
Twitter
Banken
Amazon
Microsoft
Fehler beseitigt, Zertifikat erneuert -> Passwort ändern:
web.de, gmx.net
posteo
telekom-seiten
gmail
yahoo
macbay.de
cyberport.de
gravis.de
dropbox
soundcloud
Es gibt natürlich unzählige kleine Online-Shops und gesicherte Seiten, Vollständigkeit sollten wir also nicht anstreben. :)
-
Ob http oder https sehe ich in Safari doch nur unter Einstellungen > Kennwörter?
Alle Seiten die dort mit https gelistet sind, könnten betroffen sein.
Jetzt mal unabhängig davon ob Problem schon behoben ist oder kein OpenSSL genutzt.
Genau, aber nur für Seiten bei denen sich Safari die Kennwörter gemerkt hat. Ansonsten sieht man es, wenn man eine Seite aufruft an dem s von https. Die meisten Browser blenden dann auch irgendwo ein Schloßsymbol ein.
(Es gibt auch Seiten, die verschlüsseln nur das Passwortfeld und nicht die ganze Seite, was man als Nutzer nur schlecht vorher oder überhaupt nachhalten kann. ::))
So ein Schmarrn diese ComputerTechnik!
-
Genau, aber nur für Seiten bei denen sich Safari die Kennwörter gemerkt hat. Ansonsten sieht man es, wenn man eine Seite aufruft an dem s von https. Die meisten Browser blenden dann auch irgendwo ein Schloßsymbol ein.
Hier beim aktuellen Safari wird das http oder https aber nicht angezeigt.
Schloßsymbol sah ich irgendwann mal früher, derzeit ist mir noch nix aufgefallen, auch nix bei macbay?
Jochen
-
Hier beim aktuellen Safari wird das http oder https aber nicht angezeigt.
Schloßsymbol sah ich irgendwann mal früher, derzeit ist mir noch nix aufgefallen, auch nix bei macbay?
Stimmt, das Protokoll wird bei HTTP oder HTTPS nicht mehr explizit angezeigt. Das Schloss inklusive domainnamen in grün oder andere Farbe je nach Zustand des Zertifikates steht dann vor der URL. Ruf doch einfach mal eine HTTPS-Seite manuell auf, z.B. Deiner Bank. Dann siehst Du die neue Anzeige.
Wie definiert sich ein Dienst?
Ein Dienst ist einfach ein Rechner im Internet, der Dir Informationen bereitstellt bzw. mit dem Du kommunizieren kannst.
Potentiell betroffene Systeme sind
- Webserver, wenn HTTPS benutzt wird
- Mailserver, wenn SSL aktiviert ist
- FTP-Server, wenn SFTP oder FTPS benutzt wird
- SSH-Server
...
- alle möglichen Server, mit denen Du oder Dein Gerät verschlüsselt kommuniziert.
Gibt es auch Dienste mit s die kein OpenSSL nutzen?
Jede Menge. OpenSSL ist nur eine Implementierung von SSL, allerdings die weitverbreiteste. Andere Firmen haben auch Implementierungen, so z.B. MS, Apple, Mozilla...
Und OpenSSL ist nicht komplett betroffen, sondern nur ganz bestimmte Versionen. Das in OS X integrierte OpenSSL, welches aber von Apple-Anwendungen AFAIK nicht verwendet wird, ist zu alt und wäre nicht betroffen.
Effektiv finde ich immer noch: Es bleibt einem pragmatisch nichts anderes übrig, als überall Kennwörter zu wechseln, wo verschlüsselt übertragen wird. Die Hinweise von Florian im Hinterkopf behaltend.
Oder man macht es so radikal wie Florian. Dazu fehlt mir der Mut.
-
Im aktuellen Safari sieht das so aus:
(http://km.support.apple.com/library/APPLE/APPLECARE_ALLGEOS/HT6074/de_DE/HT6074_https-de.png)
Hat die Seite ein Zertifikat (Ausweis), so wird das https durch den Namen im Zertifikat ersetzt und nur mehr das Schloß ist zu sehen:
(http://km.support.apple.com/library/APPLE/APPLECARE_ALLGEOS/HT6074/de_DE/HT6074_https_extended-de.png)
aus:
http://support.apple.com/kb/HT6074?viewlocale=de_DE
-
Im aktuellen Safari sieht das so aus:
Habe jetzt mal vier Seiten aufgerufen die lt. Safari > Einstellungen > Kennwörter HTTPS sein sollen.
a) Bei Macbay und Amazon wird aber nix angezeigt.
b) Bei den zwei anderen wird was angezeigt.
Was kann man zu a) sagen?
Oder mal Safari zurücksetzen?
Jochen
PS: Sehe gerade auf der macbay Seite eine Info zu heartbleed.
Ist aber doch keine Erklärung zur Nichtanzeige von HTTPS in der URL?
-
macbay und amazon sind, wie die meisten Seiten, nicht komplett verschlüsselt, sondern nur die persönlichen Seiten und Anmeldung.
Klicke einfach auf Anmelden oder Kundenbereich.
-
macbay und amazon sind, wie die meisten Seiten, nicht komplett verschlüsselt, sondern nur die persönlichen Seiten und Anmeldung.
Klicke einfach auf Anmelden oder Kundenbereich.
Stimmt, nun kommt Licht ins Dunkle ;D
Jochen
-
Wir können hier ja eine Liste machen, wenn wir schon Infos haben.
Guter Plan!
Anscheinend nicht betroffen
.
.
Banken
Anscheinend leider doch:
http://www.t-online.de/computer/sicherheit/id_68936758/deutsche-banken-und-sparkassen-beheben-openssl-luecke.html
https://www.piraten-aargau.ch/2014/04/09/heartbleed-grosse-gefahr-beim-e-banking/
-
Zertifikate - tolle Technik:
http://m.heise.de/security/meldung/Heartbleed-und-das-Sperrproblem-von-SSL-2174254.html
-
http://www.computerbase.de/2014-04/openbsd-spaltet-sich-mit-libressl-von-openssl-ab/
-
Sehr sinnvoll, noch ein Projekt mit viel zu wenig Mitstreitern. ::)
Genau das hatte ich erwartet.
-
http://www.cultofmac.com/275563/apple-issues-heartbleed-fix-for-airport-base-stations/
-
Amazon, Cisco, Dell, Facebook, Fujitsu, Google, HP, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace und VMware haben zugesagt, OpenSSL in den nächsten drei Jahren mit jeweils 100.000 $, also insgesamt 4,2 Millionen Dollar zu fördern.
Presse-Erklärung via The Linux Foundation (http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel)
-
Mit meinem Unverständniss für Zertifikate scheine ich nicht alleine zu sein:
http://www.golem.de/news/nach-heartbleed-neues-zertifikat-alter-key-1405-106384.html
-
Was genau verstehst Du nicht? Ich versuche es gerne noch mal mit der Erklärung.
Ich nehme jetzt einfach mal an, Du betreibst auch keine SSL-geschützte Seite. Mein Verständnis für solche Webmaster, im Gegensatz zu dem gegenüber Dir, hält sich in engen Grenzen.
-
Um meine ursprüngliche Frage (http://www.apfelinsel.de/forum/index.php/topic,4632.msg72356.html#msg72356) ein wenig zu variieren: Woran kann ich erkennen,
1. daß der Aussteller des Zertifikats vertrauenswürdig ist,
2. der Name des Ausstellers nicht gefaked ist,
3. nicht eine x-beliebige Schadsoftware/Webseite das ZertifikatFenster auf mein Display malt/verändert?
-
1. Die Betriebssysteme und auch manche Programme haben ja die Root-Zertifikate der als vertrauenswürdig anerkannten Institutionen/Firmen gespeichert. kannst Du auch im Schlüsselbund sehen.
Ist ein Zertifikat nicht von solch einer Stelle ausgestellt, kommt eine Fehlermeldung.
Oder sollte zumindest kommen. Leider prüfen immer mehr Programme auf diversen Geräten nicht, sondern verbinden munter. Das ist natürlich nicht im Sinne des Erfinders, sondern eine grobe Missachtung der Datensicherheit.
2. Durch den Abgleich mit den Root-Zertfikaten geht das nicht so einfach.
Man müsste schon die Rechner des Herausgebers hacken und dort Zertifikate erstellen. Ist auch schon passiert, leider. DigiNotar aus Holland musste danach das Geschäft schließen.
3. Das ist theoretisch immer möglich.
-
Forscher demonstrieren:
http://www.heise.de/newsticker/meldung/SSL-Gau-Heartbleed-Angriff-ueber-WLAN-2213966.html
-
http://www.macnotes.de/2015/03/04/freak-sicherheitsluecke/
http://www.heise.de/security/meldung/Freak-Attack-SSL-Verschluesselung-von-Millionen-Webseiten-angreifbar-2566444.html
-
http://www.heise.de/security/meldung/Apple-schliesst-gefaehrliche-Freak-Attack-Luecke-in-OS-X-und-iOS-2571717.html
-
https://www.heise.de/security/meldung/Sicherheitsupdate-Angriff-auf-Luecke-in-OpenSSL-kann-Client-und-Server-abstuerzen-lassen-3629698.html
Updates stehen bereit.