ComputerBase Menü
Aktuelles

News Heartbleed möglicherweise bereits Ende 2013 ausgenutzt

dedavid95 schrieb:
Ich hätte schon bei der ersten Nachricht über heartbleed darauf gewettet das ein Geheimdienst die Lücke ausnutzt...

Aber dem Entwickler kann man keinen Vorwurf machen, solche Fehler passieren leider...
Zum Vergrößern anklicken....
naja insofern dass man für den heartbeat garkein payload gebraucht hätte ist das schon ein kleiner bock...

klar der fehler für sich selbst, passiert...aber dass man etwas imlementiert das man nicht braucht, das ist komisch
Ergänzung ()

Cool Master schrieb:
Also wenn nun noch jemand meint das wurde von einen Geheimdienst in Auftrag geben kann man nur sagen: Alu Hut sofort wieder aufsetzen...
Zum Vergrößern anklicken....
die Vermutung hat eigentlich nichts mit aluhut zu tun sondern ist eine mögliche variante wie es dazu kam und auch nicht völlig abwegig....selbst in der Dissertation von dem herren steht dass der payload unnütz ist, so richtig schlüssiges warum er ihn eingebaut hat gibt's auch nicht.
 
Zuletzt bearbeitet:
0711 schrieb:
die Vermutung hat eigentlich nichts mit aluhut zu tun sondern ist eine mögliche variante wie es dazu kam und auch nicht völlig abwegig....
Zum Vergrößern anklicken....

Natürlich ist es das... Nur wegen Snowden nun jeden Bug in die Schuhe der NSA zu schieben ist purer Aktionismus und total fehl am Platz. Bugs passieren einfach. Jeder der sagt er schreibt Programme ohne Bugs würde ich nicht einstellen, Code akzeptieren oder mit der Pinzette anfassen.

0711 schrieb:
selbst in der Dissertation von dem herren steht dass der payload unnütz ist, so richtig schlüssiges warum er ihn eingebaut hat gibt's auch nicht.
Zum Vergrößern anklicken....

Wenn ich mir Code vor ~6 Monaten anschaue denke ich mir zum teil auch "Was zur hölle habe ich da getan?" Das passiert einfach... Man hat ja auch mehr als ein Projekt am laufen. Dazu kommt mit dem programmieren ist es wie mit lernen: Man lernt nie aus. Ich würde heute auch einige Projekte von vor 2-3 Jahren völlig anders umsetzen einfach weil ich mehr Erfahrung habe als damals.

Es ist wie es ist ein Bug. Nicht mehr nicht weniger.
 
Ich habe gerade den Quelltext von der betroffenen Stelle vom 26. September 2011 gesehen und da war die Überprüfung noch drin! Sie wurde nachträglich entfernt, was mMn nur mit Absicht geschehen sein kann.

Sorry, war ein Fehler von mir, hatte versehentlich die 2 aktuellen Patches verglichen.
Die Überprüfung

+ n2s(p, payload);
+ if (1 + 2 + payload + 16 > s->s3->rrec.length)
+ return 0; /* silently discard per RFC 6520 sec. 4 */
+ pl = p;
Zum Vergrößern anklicken....

fehlt bei den älteren Versionen.
 
Zuletzt bearbeitet:
Cool Master schrieb:
Nur wegen Snowden nun jeden Bug in die Schuhe der NSA zu schieben ist purer Aktionismus und total fehl am Platz
Zum Vergrößern anklicken....
ist zwar grundsätzlich richtig aber es ist ja nicht so dass man anhand der Informationen durchaus vieles in einem anderen licht betrachten muss - selbst viele der aluhutfraktion Befürchtungen wurden ja übertroffen und eine gewisse Skepsis sehe ich als angebracht auch wenn man nicht panikhaft überall nsa dran schreiben muss (wobei es wenn dann eben ein lakeienjob war ;) )

Cool Master schrieb:
Wenn ich mir Code vor ~6 Monaten anschaue denke ich mir zum teil auch "Was zur hölle habe ich da getan?" Das passiert einfach... Man hat ja auch mehr als ein Projekt am laufen. Dazu kommt mit dem programmieren ist es wie mit lernen: Man lernt nie aus. Ich würde heute auch einige Projekte von vor 2-3 Jahren völlig anders umsetzen einfach weil ich mehr Erfahrung habe als damals.
Zum Vergrößern anklicken....
die Dissertation ist glaub jünger als der commit, insofern ;)

Natürlich muss man da jetzt nicht ständig mit dem kreuz im anschlag durch die gegend rennen und den belzebub suchen aber die Möglichkeit besteht. Ich möchte da auch nicht zwangsweise irgendwem was unterstellen und wie gesagt ist nicht der bug ansich das was mich misstrauisch werden lässt
 
@0711

Klar die Möglichkeit besteht, meiner Meinung nach ist es aber wahrscheinlicher, dass der Programmierer einfach zu wenig Koffein hatte ;)
 
Habe das lokal vor dem Patchen mal an mir selbst ausprobiert. Snippets waren sehr leicht zu finden und die Ergebnisse sehr schockierend.
Die 11 ist auf jeden Fall gerechtfertigt.
 
Cool Master schrieb:
@0711

Klar die Möglichkeit besteht, meiner Meinung nach ist es aber wahrscheinlicher, dass der Programmierer einfach zu wenig Koffein hatte ;)
Zum Vergrößern anklicken....

Sehr wahrscheinlich :) Immerhin steigt die Codequalität proportional zur Kaffeemenge!

Es kann ja auch sein, dass sie beschlossen haben, den Payload mit rein zu nehmen, obwohl er persönlich ihn als unnötig erachtet. Ist ja evtl. eine Entscheidung der Gruppe.
 
Ich finde es nur erstaunlich (und erschreckend) dass offenbar zwei Jahre lang niemand diesen offensichtlichen Fehler im Code gefunden hat. Zumindest niemand, der es gemeldet oder gefixt hätte...

Eigentlich vertraut man doch bei Open Source Software, besonders bei sicherheitsrelevanter Software, darauf, dass da schon "immer jemand drüber schaut und sofort die Fehler findet". Zumindest dachte man das bisher...
 
Eigentlich vertraut man doch bei Open Source Software, besonders bei sicherheitsrelevanter Software, darauf, dass da schon "immer jemand drüber schaut und sofort die Fehler findet". Zumindest dachte man das bisher...
Zum Vergrößern anklicken....

Im Idealfall schon.

ABER: Wer opfert gerne seine Freizeit ? Ich bin selbst Entwickler und ich hätte dafür keine Motivation. Open Source Projekte sehe viele als Hobby an, dementsprechend ist das Engagement.
 
Mir geht es auch so. Ich mein ich mag programmieren aber nach 8-12 Stunden sitze ich mich nicht noch mal an ein Open Source Projekt und schau mir den Source Code von mehreren tausend Zeilen an. Mit Pech gibt es in der Zeit ein erneuten Commit und ich darf wieder von "vorne anfangen".
 
Artikel-Update: Wie der Branchendienst Bloomberg unter Berufung auf zwei mit der Materie vertraute Personen berichtet, wusste die NSA seit mindestens zwei Jahren über die jetzt als Heartbleed bezeichnete Lücke in der Kommunikation zwischen Servern Bescheid. Eine E-Mail aus dem Büro des Direktors der Geheimdienste leugnet eine Kenntnis vor 2014 jedoch. Die Kenntnis dieser Lücke ermöglichte der Agentur die Beschaffung von Passwörtern und anderen sensiblen Daten, die sie braucht, um ihre Lauschaktionen durchzuführen und Netzwerke zu unterwandern. Die Praxis, solche Lücken geheim zu halten und auszunutzen anstatt sie abzustellen, ist übliche Vorgehensweise, wenn auch sehr kontrovers diskutiert. Die jeweilige Sicherheitslage entscheide über die Vorgehensweise, die beim Direktor der Agentur festgelegt wird. Die Frage, ob Kriminelle ebenfalls Kenntnis von der Lücke hatten, bevor sie öffentlich wurde, ist derzeit noch ungeklärt.
 
Ohne Worte. Damit trägt die NSA nicht nur nicht zu mehr Sicherheit bei, sondern ermöglicht gleichzeitig noch anderen kriminellen Organisationen (die natürlich bekämpft werden sollen) die Nutzung selbiger Lücke und zeigt somit einmal mehr, dass das wahre Ziel nicht Terrororganisationen und dergleichen sind, sondern Konzerne und Bürger!
 
Zuletzt bearbeitet:
"Das Beunruhigende an diesen Erkenntnissen ist, dass für das Ausspähen eines gesamten IRC-Netzwerks am ehesten ein Geheimdienst in Frage kommt. Die Daten, die dort gesammelt werden können, sind für Kriminelle kaum von Interesse."

Au contraire!
Es wäre SEHR viel beunruhigender, wenn es genau andersherum wäre.
 
News-Update: Wie der Branchendienst Bloomberg unter Berufung auf zwei mit der Materie vertraute Personen berichtet, wusste die NSA seit mindestens zwei Jahren über die jetzt als Heartbleed bezeichnete Lücke in der Kommunikation zwischen Servern Bescheid. [...] Die Frage, ob Kriminelle ebenfalls Kenntnis von der Lücke hatten, bevor sie öffentlich wurde ist derzeit noch ungeklärt.
Zum Vergrößern anklicken....

Lustig... die NSA ist doch schon selber kriminell.
 
highks schrieb:
Eigentlich vertraut man doch bei Open Source Software, besonders bei sicherheitsrelevanter Software, darauf, dass da schon "immer jemand drüber schaut und sofort die Fehler findet". Zumindest dachte man das bisher...
Zum Vergrößern anklicken....

Das ist eben generell eine falsche Annahme. Entwickler schauen sich eigentlich nur den Code an wenn sie a) die Software verwenden wollen und grob wissen wollen wie es funktioniert, b) sie werden dafür bezahlt (hinter den meisten OpenSource Projekten steht eine Firma die die eigentliche Entwicklung vorantreibt, wie bei einem ganz normalen Softwareprojekt), c) Sie werden beauftragt den Code zu beurteilen,
d) sie wollen das Projekt verwenden, es fehlen aber Features, also arbeiten sie am Code.
Es gibt so gut wie keine Leute, die sich einfach aus Langeweile in den Code eines großen Projekts einarbeiten bzw. das lässt sich nie auf alle open source Projekte ausdehnen.
Möglichkeit a) hilft nicht bei der Fehlersuche, da sich derjenige nicht intensiv mit dem Code beschäftigt. b) bietet keinen Vorteil gegenüber proprietären Projekten. c) Bei proprietären Projekten werden genauso Experten angeheuert zur Beurteilung und in den meisten Fällen bekommen auch Experten von anderen Firmen unter strikten Umständen Zugriff auf den Quellcode (Microsoft hat beispielsweise ein Programm, bei dem man Einsicht in den Quellcode beantragen kann). Natürlich ist es bei open source trotzdem einfacher. d) Ist wohl mit der häufigste Grund zur Beteiligung und ist ein Vorteil von open source. Das das ganze die Sicherheit erhöht, stimmt aber auch nur Stellenweise und was bringt einem schon eine löchrige Kontrolle wenn über kritische Stellen doch nur ein Entwickler drüber geschaut hat? Zudem ist hier noch das Problem, dass die meisten Leute das Expertenwissen nicht mitbringen. Schön und gut, dass 2000 Programmierer über den Code geschaut haben, wenn aber nur 2 Leute Experten auf dem Gebiet sind und das ganze auf einem anderen Level nachvollziehen können, müssen auch keine 2000 Leute drüber schauen. Ich denke, dass der positive Effekt von open source doch sehr oft überschätzt wird. Heißt nicht, dass er nicht vorhanden ist.
 
Zuletzt bearbeitet:
Naja, selbst wenn man nur mal eine Sekunde nachdenkt, wieviel Schaden diese Lücke anrichten kann bzw. angerichtet hat, ist das Wort "Beunruhigend" nicht mal im geringsten für die Situation passend. Noch viel besser wirds ja, wenn man liest die NSA kennt diese Lücke schon seit Jahren... ah, ich will gar nicht wissen was da alles gemacht wurde - ist vielleicht besser...
 
Ach was wurde ich hier verlacht, als ich vor Monaten, ja eh schon IMMER meinte, daß jedwede öffentlich zugängliche und geforderte Verschlüsselung über Hintertüren verfügt... eh klar... sonst wäre sie nicht erlaubt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

fethomm
News Noch über 300.000 Server mit Heartbleed-Bug
Antworten
17
Aufrufe
3.649
Ch3ck3rM0n
Ch3ck3rM0n
M
News Synology stellt Patch für Heartbleed-Bug bereit
2
Antworten
33
Aufrufe
5.846
kskler199
kskler199
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz