News Heartbleed möglicherweise bereits Ende 2013 ausgenutzt

[highks]

Wie kannst du nur so naiv sein? Das ist einfach nur erschreckend, wenn du das wirklich glaubst.
Deine Passwörter kannst du sonst wo hinstecken, da Passwörter für die Profis absolut kein Hindernis sind und die NSA gehört ganz klar zu den Profis.

Das ist logisch: wenn die NSA speziell dich im Visier hat, dann hast du keine Chance mehr! Dann kommen nachts die Ninjas in deine Wohnung geklettert und installieren Kameras und Keylogger und sonstwas. In dem Fall ist wirklich alles zu spät!

Aber wenn sie es nicht speziell auf dich abgesehen haben, sondern deine Daten nur als kleiner Teil von Millionen von Datensätzen irgendwo durchlaufen, und deine Daten gescheit verschlüsselt sind, dann kann auch die NSA erst mal nichts lesen. Und wenn sie daran interessiert wären, dann müssten sie wirklich die Spezialeinheiten auf dich ansetzen, und mit Keyloggern und Sendern in deinem PC usw arbeiten. Das werden sie aber natürlich nur machen, wenn du wirklich interessant für sie bist!

Ergänzung (13. April 2014)

@highks
Ich hab die Knackdauer der üblichen Passwörter oben erläutert.

Wenn du ein PW mit 8 Zeichen ansetzt, klar. Jeder, der sich ein bisschen informiert, sollte wissen, dass das schon lange nicht mehr sicher ist!

Aber wenn ich ein 20-stelliges PW nehme, Zeichenvorrat 36, 50% Risiko, dann komme ich mit dem großen 50-GPU Cluster auf lässige 14 129 349 039 Jahre für's Brute Forcen.

Die Länge macht's! Wenn es sicher sein soll, muss das PW im Moment mindestens 20 Stellen haben. Wie gesagt, pure Mathematik!

 

[Pure Existenz]

Ich hätte schon bei der ersten Nachricht über heartbleed darauf gewettet das ein Geheimdienst die Lücke ausnutzt...

Aber dem Entwickler kann man keinen Vorwurf machen, solche Fehler passieren leider...

Warum schaut niemand drüber?
Gerade bei Zahlen und Co, schleichen sich schnell Fehler/Zahlendreher ein.
Die Hauptverantwortung hat Vorgesetzte des Mannes.

 

[DELIUS]

Falls jemand wie ich die Gargoyle Firmware (basierend auf openwrt) auf seinem Router verwendet:

AA: security fix for CVE-2014-0160 - upgrade OpenSSL to version 1.0.1g …

Update unter http://www.gargoyle-router.com/phpbb/viewtopic.php?f=14&t=5533

 

[hcstyle]

Meint ihr echt die haben ne Sicherheitslücke gefunden und ausgenutzt? Oder doch vielleicht abgemacht und implementiert

 

[Rexus]

Bahhh diese Skandale reißen einfach nicht ab! Hier wird was geklaut, da wird was ausgespäht, dort wird vielleicht was ausgespäht.

Wie lautet das Medikament für die Geschichte hier? Passwörter beim Online-Banking und anderen wichtigen Services, die man immer mit TLS-Verschlüsselung /https-Adresse angesteuert hat, ändern. Mehr kann man nicht tun, außer hoffen, dass die Server recht schnell eine neue OpenSSL-Version aufgespielt bekommen, oder?

Ist davon jeder Server, den ich im Browser mit https-Adresse ansteuere, betroffen? Oder nur die, die auf OpenSSL setzen? Ist OpenSSL hier vielleicht sogar das Monopol? (kenne mich mit Servern nicht so aus, lerne aber gerne dazu)

 

[Backslash]

Auch wenn man nicht betroffen war, war die Version so alt, dass dafür andere Sicherheitslücken vorhanden waren...

Das muss nicht der Fall sein, einige Linux-Distributionen upgraden zum Beispiel für ländere Zeit nicht auf die neuesten Versionen (es fehlen also neue Features) aber beheben trotzdem Sicherheitslücken.

 

[Rexus]

Und noch eine Frage:

Auf dieser Seite ( https://lastpass.com/heartbleed ) wird bei vielen bekannten Websites (eBay, amazon.de) angezeigt, dass es "möglich" ist, dass der Heartbleed-Bug ausgenutzt wurde. Aber wo kann ich sehen, welche Website nun wirklich ihre Software gepatcht hat und wo es inzwischen sicher ist, das Passwort zu ändern?

 

[namenloser_held]

Oooooooooooooooooooooh, welch Überraschung...... nicht!

 

[NoXPhasma]

Die Frage, ob Kriminelle ebenfalls Kenntnis von der Lücke hatten, bevor sie öffentlich wurde ist derzeit noch ungeklärt.

Na wenn die NSA davon wusste, dann ist die Frage sehr wohl geklärt, nämlich JA!

 

[Dr. MaRV]

Gibt es eigentlich mehr SSL/TLS Varianten? Laut Microsoft waren ihre Systeme nicht von diesem Bug betroffen und im Zusammehang mit dieser Sache wird auch immer von OpenSSL geredet...

Dann könnte man sich das Ändern einiger Passwörter nämlich sparen...

 

[Marco^^]

Den Einzigen den man hier Vorwürfe machen kann sind Unternehmen die Open Source an "kritischen" Stellen einsetzen ohne sich selbst aktiv an der Entwicklung zu beteiligen.

Hier hat das Qualitätsmanagement versagt, wenn es so was bei Open Source überhaupt gibt

Da kannste ruhig deine Augen rollen bis du pennen gehst !
FreeBSD hat ein security team, port audit ... die sind nur nicht von den zuständigen benachrichtigt worden, kannst aber du Troll nicht wissen ...
FreeBSD ist so sicher, das es von OpenSSL abhängig ist, das ist nicht nur einfach ein patch (Linux) , das betrifft auch sämtliche Sicherheitssoftware wo ein Datum erstellt wird

Ich bezweifele das diese Unternehmen sich an irgend etwas beteiligen, schau dir mal die Spender von OpenBSD an, ohne dieses OS wären wir alle am Ar*** !

http://www.openbsdfoundation.org/contributors.html
https://www.freebsdfoundation.org/donate/

iXsystem hat viele Kunden die freeBSD & freeNAS vertrauen, darunter die grössten Internet Dienstleister die du dir vorstellen kannst.

https://plus.google.com/+Ixsystems/posts
http://www.ixsystems.com/clients/
Darunter Netflix, der den grössten Datenverkehr verursacht in USofA

Eine Firma die Innovationen möglich macht ...
http://www.ixsystems.com/whats-new/
freeNAS mini z.B. Megacore & Megaport server pc's

Es ist fraglich was man mit 64kb an RAM auf dem Server alles auslesen kann, eigentlich sollte OpenBSD jibberisch daraus machen, durch den "Programmierfehler" wurde der Bereich dann doch lesbar.

Stellt euch mal vor man würde nur noch M$ software verwenden, na dann GUTE NACHT !

http://www.jupiterbroadcasting.com/54907/ssl-heartbreak-techsnap-157/
www.youtube.com/watch?v=X0_3rpA5_WE&hd=1

Ergänzung (13. April 2014)

Gibt es eigentlich mehr SSL/TLS Varianten?

OpenSSL server, das liegt auch an den "Kunden" die am Server Anklopfen, ältere Software ist nicht betroffen, ab freeBSD 10 & neuere Linuxes RHEL, was M$ weiss ich nicht ... kann ja nur unsicherer sein ^ ^
https://duckduckgo.com/?q=Microsoft TLS SSL protocol hardbleed bug&kl=us-en

Der hartbeat von dem OpenSSL patch, benötigt auch keinen ssl login od. sonstige Zertifikation wie Zeitstempel durch NTP protokoll

Ergänzung (13. April 2014)

https://lastpass.com/heartbleed

http://www.ip-adress.com/whois/lastpass.com
http://www.ip-adress.com/whois/heartbleed.com
https://duckduckgo.com/?q=Marko+Laakso

Ich würde nicht einfach auf fremde Webseiten klicken, und Daten eingeben ...

 

[Beitrag]

Die Frage, ob Kriminelle ebenfalls Kenntnis von der Lücke hatten, bevor sie öffentlich wurde, ist derzeit noch ungeklärt.

Wo ist denn der Unterschied zwischen NSA und Kriminellen? Achja, die NSA ist eine kriminelle Organisation des Staates, die tut das sicher alles nur für das Allgemeinwohl

 

[Cool Master]

Tja es geht auch nicht darum eine Verschlüsselung zu knacken. Wozu auch? wenn man viel einfacher ihre Implementierung aushebeln kann! 10 Jahre Rechnen für nen Schlüssel der bis dahin veraltet ist? oder mal eben 10 min die Implementierung kompromittieren?

Eine Verschlüsselung ist nur so sicher wie Ihre Implementierung!

Joar und AES 256 Bit gilt als Sicher dazu kann man das ganze noch kaskadieren, sprich mit mehreren Algorithmen verschlüsseln. Ich hatte schon eine 768 Bit Verschlüsselung mit einem 256 Bit PW. Das ist aktuell praktisch nicht knackbar egal was für ein Super COmputer man hat. Erst mit Quanten Computern wird das wieder was anderes aber mit aktuellen x86 CPUs ist Trucrypt mit einem guten PW nicht knackbar das ist Fakt.

Und zu deinem Truecrypt es war doch einer der früheren Versionen die das PW unverschlüsselt im RAM hatte!
Also auch hier wieder: Gutes sicheres PW das an der Implementierung scheiterte.

Joar war halt ein Bug kann passieren deswegen sollte man halt immer schön Up2Date sein.

Wie kannst du nur so naiv sein? Das ist einfach nur erschreckend, wenn du das wirklich glaubst.
Deine Passwörter kannst du sonst wo hinstecken, da Passwörter für die Profis absolut kein Hindernis sind und die NSA gehört ganz klar zu den Profis.

Tja erst mal muss die NSA an mein PW kommen. Bis dahin ist ein Trucrypt Container extrem Sicher auch wenn Profis wie die NSA dran gehen die kochen halt auch nur mit Wasser, wenn auch zugegeben, ihr Wasser schneller kocht das der extremen Rechenleistung. Trotzdem wird die NSA es auch nicht packen eine 768 Kaskadierte Verschlüsselung zu knacken. Wie gesagt bei einem 256 Bit Key mit Groß-/Kleinschreibung, Zahlen und Sonderzeichen bist du bei Millionen von Jahren zum knacken selbst mit GPU Power.

Alles was du schreibst, wird protokolliert/kopiert, genauso wird das Passwort kurz im RAM abgelegt, was ebenfalls ausgelesen werden kann und deine Schlüsseldateien werden ebenfalls kopiert, wenn die es wollen.

Wenn ein Keyloger auf dem Rechner ist ja. RAM auslesen ist schwerer dafür muss man schon genau wissen wo das Zeug abgelegt wird und das "Random" ist nicth umsonst in "RAM" zudem einmal ein Restart und das wars mit auslesen.

Man braucht dir nur eine Software unterzuschieben und schon kannst du alle deine Pseudoverschlüsselungen vergessen. Die einzige sichere Methode zum Speichern von Daten ist offline ohne Zugriff auf welches Netzwerk auch immer, eben 100% offline und abgeschottet.

Klar ich installiere auch Software aus unsicheren Quellen oder steigt die NSA nacht bei mir ein und will mir was installieren? Ach ja geht ja nicht die HDD ist ja verschlüsselt ohne PW können se leider nicht mal in das OS kommen. Dazu kommt das mein Dobermann das auch mitbekommen würde und dank Schutzhund III würde er auch Alarm geben


Also kurz zusammengefasst:

Truecrypt + Gute Verschlüsselung (bzw. Algorithmen) + Gutes PW = Extrem Sicher. Und wenn es einem immer noch nicht sicher genug ist kompiliert man es sich eben selber.

 

[Helge01]

@Dr. MaRV
Microsoft verwendet Secure Channel und ist dadurch von dieser Lücke in OpenSSL nicht betroffen.

Trucrypt mit einem guten PW nicht knackbar das ist Fakt

Mit solchen Aussagen wäre ich sehr vorsichtig!

 

[SoilentGruen]

Die beim NSA müssen wirklich ne Menge Hirn und Man-Power habe um die ganzen OpenSource Sachen vollständig und regelmäßig zu durchleuchten... Unglaublich was die Gutes damit machen könnten.

 

[h3@d1355_h0r53]

Die Verschlüsselung selbst ist doch nicht unbedingt das Problem. Klar, es ist eine Megakacke was da passiert ist. Ob Bug, Versehen, "Versehen" oder Hintertürchen hier eine Rolle spielten - wayne.
Solange ihr in Deutschland bei einem Mailprovider mit mehr als 10.000 Kunden seid könnt ihr verschlüsseln wie ihr wollt - was nur die wenigsten machen wenn man sich die GMX und WEB Browsernutzer anschaut. Die Provider müssen den direkten Zugriff für die Geheimdienste bereitstellen.

 

[Turas]

An die ganze Diskussion wegen openSource ist anfälliger, weil die NSA sich den Quelltext anschauen kann: man braucht den Quelltext nicht um Schwachstellen in Programmen zu finden. Wenn die 100 Leute Vollzeit an die Fehlersuche irgendeines Programms setzten, dann finden die täglich Lücken, egal ob open oder closed source.

Genauso mit den Diffs: die Änderungen beim Patch sieht man leider bei open source sehr leicht, jedoch geht das bei closed genauso. Der Vergleich läuft dann auf Binärebene, was für Leute mit Ahnung aber auch kein Hindernis darstellt.

 

[ghost_zero5]

Das Problem bei RSA ist generell, dass es keine mathematischen Beweise gibt, welche besagen, dass Primfaktorenzerlegung "schwer" ist - sprich es keine Algorithmen gibt mit denen es einfach möglich wäre Primfaktorenzerlgung zu betreiben.
Bzw. gibt es einen Algorithmus bereits der auf Quantencomputer basiert, welches noch nicht gibt (zumindest noch nicht in der notwendigen Ausführung die nötig wäre für RSA - vor allem bzgl. Speicher), wobei hier natürlich auch die Frage wäre, wenn NSA entsprechende Fortschritte macht, ob sie das sagen würden...

 

[tonttu]

Ob da NSA-Geld geflossen ist fürs 'Übersehen'?

Für mich stinkt das ganze zum Himmel. "Übersehen" oder "vergessen"

Ja HETZJAGD. Ich wette nicht wenige würden sich Freuen wenn der Kerl tot ist.
Die Hetze samt Veröffentlichung von Namen und. co im Netz hat ja schon begonnen.

Wer mit dem Ami kollaboriert hat ja nur den tod verdient.

WIDERLICH!

 

[-GL4x-]

Hi, sry das ich zwischen euere teilweise schon sehr fachspezifischen Kommentare zwischen funke.

ich hatte bemerkt, das auf den normalen OpenSuse Clients die OpenSSL-Version 1.0.1e-11.32.1 installiert ist. Laut Web soll die Sicherheitslücke in der g-Version geschlossen sein.

Wie wichtig ist es für uns "simple" Clients die gefixed Version zu benutzen. Oder ist das Ganze nur relevant für Serverbetreiber?

SRY für evtls Unwissen . Bitte um Aufklärung