News Noch über 300.000 Server mit Heartbleed-Bug

fethomm

Commander
Registriert
Okt. 2012
Beiträge
2.597
Der Sicherheitsexperte Robert Graham hat seit Bekanntwerden des Heartbleed-Bugs Anfang April mehrmals das Internet nach für die OpenSSL-Lücke offenen Servern durchforstet. Am 9. April, wenige Tage nach Veröffentlichung der Lücke, waren von insgesamt 28.581.134 antwortenden Maschinen 615.000 Server verwundbar.

Zur News: Noch über 300.000 Server mit Heartbleed-Bug
 
@smalM, aber auf den meisten Servern kann man wesentlich mehr interessante Daten klauen, als auf einem einzelnen Android-Smartphone :p
 
Wie kommst du darauf das es eine Milliarde sind?
Der Heartbleed Bug betrifft nur Android Geräte mit 4.1.1 (Quelle). Laut Plattform-Statistiken sind 29% der Geräte Android 4.1.x. Davon sind aber die meisten Geräte mit einer Version über 4.1.1 also bereits gepatcht.
 
Warum sollte Android im großen Stil von Heartbleed betroffen sein? Es ist ausschließlich eine sehr selten verwenderte 4.1 - Version betroffen. Alle Versionen darunter setzen auf OpenSSL 0.98 -> noch keine Heartbeat-Extension, bei allen darüber wurde Heartbeat deaktiviert.
 
flappes schrieb:
Scherzkeks ;-) Version 4.1 hat den größten Anteil mit 29 %

https://developer.android.com/about/dashboards/index.html


Hab noch ein "altes" China-Tablet mit 4.1, da kommt garantiert kein Update mehr.

Soweit ich weiß, betrifft es nur die Version 4.1 (also nicht 4.1.1, 4.1.2 usw.)

Aber berichtigt mich bitte falls ich falsch liegen sollte :D
(Bin selbst schon am recherchieren, ob mein Kommentar überhaupt richtig ist :D )
 
In den Changelogs von Android 4.4.4 steht doch auch was von fixen drin.

Oder wenn man bei CyanogenMod guckt, auch schon vorher (4.4.2/3).
 
TuEsOdErLaSsEs schrieb:
Hier spricht man von der Lücke im Open SSL und Android 4.4.3 und anders wo heißt das nur Android 4.1 betroffen ist davon .

Ja was stimmt den nun davon :freak: ?
Bis zur Version 4.1.1 und nach 4.1.1 ist Android von der OpenSSL Lücke "Heartbleed-Bug" nicht betroffen.

Aufgrund des Heartbleed-Bug (CVE-2014-0160) hat man sich OpenSSL nochmals genauer angeschaut und dabei hat man weitere Sicherheitslücken entdeckt.


Zu den weiteren Lücken die man nach dem Heartbleed-Bug gefunden hat, zählt CVE-2014-0224.

Wenn beide, sprich der Client UND der Server OpenSSL in einer betroffenen Version einsetzen, könnte ein Angreifer dies für einen Man-in-the-Middle-Angriff ausnutzen und die Verbindung so manipulieren, dass die Software auf ein knackbares Schlüsselmaterial zurückfällt, das es ihm dann wiederum ermöglichen würde, den Datenverkehr zu entschlüsseln.

Nochmals:
Diese Lücke (CVE-2014-0224) ist nur aus-nutzbar, wenn Server- und Client-Version von OpenSSL angreifbar sind.

Beispiel: Du bist im Urlaub mit deinem Smartphone in einem öffentlichen WLAN unterwegs. Du greifst mit deiner Banking app auf dein Konto zu und wenn auf dem Bank Server auch OpenSSL in der ungepatchten Version läuft und wenn deine Banking app keine eigene KryptoBibliothek benutzt, sonder eine der ungepatchte OpenSSL-Versionen 0.9.8, 1.0.0 und 1.0.1 und wenn ein Krimineller ...

Generell sind alle Geräte und Programme in den ungepatchten OpenSSL-Versionen 0.9.8, 1.0.0 und 1.0.1 betroffen, sofern sie OpenSSL verwenden. Firefox oder auch Chrome verwenden jedoch beispielsweise auf dem Desktop die "SSL-Technik" NSS (Mozilla) und nicht OpenSSL, sind also generell davon nicht betroffen. Google wollte ursprünglich mal auf dem Desktop von NSS auf OpenSSL wechseln. Mittlerweile hat man sich aber dazu entschlossen eine eigene SSL-Implementierung zu entwickeln (BoringSSL). Sie wollen aber weiterhin Korrekturen an die OpenSSL-Entwickler zurückgeben. (https://www.imperialviolet.org/2014/06/20/boringssl.html)

Die anderen Lücken die man nach dem Heartbleed-Bug gefunden hat, sind weit weniger gefährlich, wie beispielsweise CVE-2014-0198 und CVE-2010-5298, da die Option "SSL_MODE_RELEASE_BUFFERS" standardmäßig ab Werk deaktiviert ist und auch selten genutzt wird. Ansonsten könnte man mit diesen Lücken beispielsweise einen betroffenen Server zum Absturz bringen.
Genauso die (CVE-2014-3470) Lücke. Wenn ECDH-Cipher ohne Authentifizierung verwendet wird (anonymer Modus), dann ist ein Denial-of-Service-Angriff möglich. Wer jedoch diese Art der Verschlüsselung verwendet, hat sowieso andere Probleme (generell unsicher).
 
smalM schrieb:
Macht nicht, 1 Milliarde Android-Smartphones haben den ja auch noch. :D

Wenn man keine Ahnung hat .... (du weißt wie es weiter geht)

user4base hat es ganz gut beschrieben. Von der schlimmen Heartbleed-Lücke waren nur die seltenen Versionen 4.1.0 und 4.1.1 betroffen. Darunter waren auch ein paar HTCs und Motorolas, aber die haben trotz ihres hohen Alters noch ein Update bekommen, auch ohne Erhöhung der Android-Versionsnummer.

Die neueren Lücken sind nicht mehr sehr gefährlich, weil sie einen ungepatchten Server, ohne automatische Updates, voraussetzen würden. Kein seriöses Unternehmen betreibt solche Server. Ich denke mal die restlichen verwundbaren Systeme sind vom Kaliber "Kaninchenzüchter-Verein mit Login zum CMS". Aber ob sich da mehr als eine Person einloggt, und dann noch vom Smartphone, bezweifle ich mal.
 
Kein seriöses Unternehmen betreibt solche Server
Wieviel seriöse Unternehmen in IT Sicherheit investieren sollte ja mittlerweilen auch dem letzten Hillibilly klargeworden sein. Oder gilt da bei den großen Datenskandalen auch: Aus den Augen aus dem Sinn ?

Sony; Adobe; eBay usw. sind das in deinen Augen keine seriösen Firmen ? Alle hatten ihre Datenskandale.
Börsennotierte Unternehmen kennen nur eines und das ist die Gewinnmaximierung! Kosten für die IT Sicherheit sind da eher ein Dorn im Fleisch.

Nen Kleintierzüchterverein reguliert einen Schaden nicht mal eben aus der Portokasse.
 
Zuletzt bearbeitet:
Die müssen gar nicht investieren, denn vor Heartbleed 2 ist man geschützt, wenn der Server noch in irgendeiner Form Updates bekommt. Als Windows-Vergleich also "nicht mehr mit XP" läuft. Das kriegen alle seriösen Unternehmen hin. Ganz so banal sind Datenskandale nicht abgelaufen.

Bei den Kleintierzüchtern wollte ich darauf hinaus, dass es im Internet jede Menge unwichtige und/oder vergessene / ungepflegte Systeme gibt, die auch in solche Zahlen einfließen. Das ist natürlich nicht schön, aber ich logge mich nicht von meinem Smartphone aus auf der Admin-Oberfläche des Kleintierzuchtvereins ein, der seine "Homepage" seit 6 Jahren nicht mehr geändert hat. Solche Systeme gibt es auch, daher wird man mit einem Scan nie auf ein Patchlevel von 100 % kommen. Aber ich könnte die Webseiten, die ich per Smartphone besuche, aufzählen, solche Seiten sind nicht darunter. Wenn sie es wären hätte ich auf dem Smartphone auch kein Passwort für die Hobbyseite dabei.
 
Das spielt alles nur sehr begrenzt eine Rolle. Wenn ich ne Seite mit wirklich Bananen-Inhalt und 20 Besuchern pro Monat hab, dann werde ich da n Teufel tun und mich wegen nem Zertifikat-Update in Unkosten stürzen.
 
Daaron schrieb:
Das spielt alles nur sehr begrenzt eine Rolle. Wenn ich ne Seite mit wirklich Bananen-Inhalt und 20 Besuchern pro Monat hab, dann werde ich da n Teufel tun und mich wegen nem Zertifikat-Update in Unkosten stürzen.
Meine persönliche Erfahrung ist, dass die meisten CAs kulant sind, und nix dafür verlangen
 
Gott, hängt euch auf am Heartbleed. Der Typ hat doch selber keine Ahnung von Datenschutz/-sicherheit. Bei uns (UniCredit AG) gab es den Bug auch und was hat es den Hackern gebracht? - NICHTS!!!

Warum? - Es wäre zu keiner Zeit möglich gewesen unsere Schlüssel/Daten abzugreifen, weil wir nCypher-Karten nutzen und somit hardwareverschlüsselt alles save war. Trotzdem wurde sich an den "unsicheren" Zertifikaten dann aufgehangen in der Presse.
 
Zurück
Oben