Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung

Heartbleed Bug

19 Beiträge, Schlüsselwörter: Hilfe, BUG, Passwort, CCC, Heartbleed Bug, Ssl-source-code
Seite 1 von 1
greenkeeper
Diskussionsleiter
ehemaliges Mitglied

Lesezeichen setzen

Heartbleed Bug

12.04.2014 um 08:33
http://www.spiegel.de/netzwelt/web/heartbleed-openssl-fehler-verraet-passwoerter-a-963381.html#js-article-comments-box-p...


Also irgendwie scheint da was schwer aus dem Ruder zu laufen. Erst heißt es, nur noch verschlüsselt mailen, damit niemand unbefugten Zugang zum Mailinhalt bekommt. Jetzt können wohl die Passwörter für die Datenverschlüsslung dank Heartbleed Bug vom Server direkt unverschlüsselt ausgelesen werden, also wenn man Ahnung hat oder Hacker is oder am besten beides.

Die NSA scheint dazu fähig zu sein, ich bin es aber nich. Ich habe keine Lust meine Passwörter jetzt alle zu ändern. Ich bin froh dass ich sie mir gerade noch alle merken kann, bei vielen muss ich schon 'ne Weile überlegen oder sogar nachschlagen.

Es soll wohl davon abhängen welche Form der SSL-Verschlüsslung der Provider bzw. Dienstanbieter verwendet. Gibt es da mehrere? Wie erfahre ich welche der Anbieter verwendet? Klärt mich mal bitte jemand darüber auf? Das is doch hoffentlich noch ein CCC-Forum? Also schreibt mal was aus eurer Trick-Kiste. Seid ihr wirklich so gut?

Und is deshalb ausgerechnet ein Deutscher angeblich für diesen Fehler verantwortlich? Verwendet die ganze Welt etwa einen deutschen SSL-Source-Code? Hätte ich jetzt nich so vermutet. Das is doch schon mal schief gegangen, Stichwort "Enigma".

Und warum gibt die NSA uns nich wenigstens mal einen kleinen Hinweis auf den Bug? Weil sie dann das Telefon der Kanzlerin nich mehr abhören kann? O.k., das is ein Grund. Also eine Frage hätte ich mir damit schon mal selbst beantwortet. Aber der Rest? Muss ich jetzt etwa auch mein Allmy-Passwort ändern? Ich bin total verwirrt. :(

Gruß greenkeeper


melden
Anzeige

Heartbleed Bug

12.04.2014 um 13:07
greenkeeper schrieb:Also irgendwie scheint da was schwer aus dem Ruder zu laufen. Erst heißt es, nur noch verschlüsselt mailen, damit niemand unbefugten Zugang zum Mailinhalt bekommt. Jetzt können wohl die Passwörter für die Datenverschlüsslung dank Heartbleed Bug vom Server direkt unverschlüsselt ausgelesen werden, also wenn man Ahnung hat oder Hacker is oder am besten beides.
Also ich habe mir das mal angesehen und ganz so einfach scheint das mit dem Auslesen der Passwörter dann doch nicht zu sein. Ob man durch diesen Fehler auf einem Server an wichtige Daten kommt, hängt davon ob, wie die Daten dort gespeichert sind. Durch den Fehler, bei der die Länge einer Abfrage nicht überprüft wird, können maximal 64 kB Daten direkt vom Speicher ausgelesen werden. Dabei kann man durchaus interessante Dinge wie Passwörter finden.
greenkeeper schrieb:Die NSA scheint dazu fähig zu sein, ich bin es aber nich. Ich habe keine Lust meine Passwörter jetzt alle zu ändern. Ich bin froh dass ich sie mir gerade noch alle merken kann, bei vielen muss ich schon 'ne Weile überlegen oder sogar nachschlagen.
Bevor man das Passwort ändert, sollte man sich sicher sein, dass auf dem entsprechenden Server auch das Update (bzw. der Patch) eingespielt wurde, der Bug also behoben wurde.
greenkeeper schrieb:Es soll wohl davon abhängen welche Form der SSL-Verschlüsslung der Provider bzw. Dienstanbieter verwendet. Gibt es da mehrere? Wie erfahre ich welche der Anbieter verwendet? Klärt mich mal bitte jemand darüber auf? Das is doch hoffentlich noch ein CCC-Forum? Also schreibt mal was aus eurer Trick-Kiste.
Der Heartbleed-Bug betrifft nur OpenSSL. Allerdings kann man auch nur dort überhaupt nach Bugs suchen, weil der Quellcode offen ist.
greenkeeper schrieb:Und is deshalb ausgerechnet ein Deutscher angeblich für diesen Fehler verantwortlich? Verwendet die ganze Welt etwa einen deutschen SSL-Source-Code? Hätte ich jetzt nich so vermutet. Das is doch schon mal schief gegangen, Stichwort "Enigma".
OpenSSL kann ohne Lizenzgebühren zahlen zu müssen verwendet werden und ist sicher deshalb so verbreitet. Und der Fehler ist wohl wirklich nur ein Fehler und keine Hintertüre. Solche Fehler sind schnell passiert und später nur schwer zu finden. In proprietären Bibliotheken findet man solche Fehler natürlich gar nicht.
Und zur Enigma kann man sagen, dass die für die Zeit eigentlich schon sicher war, aber es gab Angriffspunkte (Der Wetterkurzschlüssel und Kurzsignale wurden auf erbeuteten deutschen U-Booten gefunden) und die haben die Allierten erfolgreich ausgenutzt.

Emodul


melden

Heartbleed Bug

12.04.2014 um 13:55
@Kirschi
ja ist mein ernst denk nur logisch drüber nach dann weißt du dass gott überall ist.


melden

Heartbleed Bug

12.04.2014 um 14:59
@Holdings
Gott ist tot.... man lasst den glaubens-kack aus der IT der Wissenschaft und allem was nichts mit Fantasie zu tun hat raus !

Hier gehts um den Bug, der schon fast komplett beseitigt ist und nicht um imaginäre freunde.


melden

Heartbleed Bug

12.04.2014 um 15:02
@define
dann gibts nach deiner logik auch keine strahlung? ja klar


melden

Heartbleed Bug

12.04.2014 um 15:07
Holdings schrieb:dann gibts nach deiner logik auch keine strahlung? ja klar
wtf, was hat das Spaghettimonster, äh, ich meine Gott mit Strahlung zu tun?!


melden

Heartbleed Bug

12.04.2014 um 15:10
@Assassine
beides kann man net sehen meinte ich damit


melden

Heartbleed Bug

12.04.2014 um 15:10
@Holdings
OK, trotzdem sinnlos^^


melden

Heartbleed Bug

12.04.2014 um 15:37
@Holdings
Strahlung kann man messen.


melden

Heartbleed Bug

12.04.2014 um 15:39
@Kirschi
und die ergebnisse gottes sieht man ja wohl


melden

Heartbleed Bug

12.04.2014 um 15:44
@Holdings
Lass uns doch per PN weiter diskutieren. Auf Ot hat hier niemand Lust.


melden
greenkeeper
Diskussionsleiter
ehemaliges Mitglied

Lesezeichen setzen

Heartbleed Bug

12.04.2014 um 16:45
@emodul

Danke für den informativen Beitrag. :)


Gruß greenkeeper


melden

Heartbleed Bug

13.04.2014 um 00:03
1104 cartoon fitwidth 489
Randall Munroe, Zeichner der Comicreihe "xkcd", hat sich dieser Frage in seinem neuesten Cartoon angenommen. Mit einem Strichmännchen, das sich mit einem Server unterhält, illustriert er die Sicherheitslücke: Das Männchen schickt dem Rechner eine Nachricht, um zu sehen, ob die Verbindung ziwschen beiden noch besteht. Sie setzt sich aus drei Teilen zusammen: Der Frage "Bist du noch da?", einem Wort, mit dem der Computer antworten soll, und der Zeichenzahl dieses Wortes. Der "Heartbleed"-Fehler besteht darin, dass man dem Server auch eine Zeichenzahl schicken kann, die sehr viel größer ist, als die der gewünschten Antwort. Ein Beispiel: "Antworte mit 'Hut', in 500 Zeichen." Darauf antwortet der Computer mit dem Wort "Hut" - und weiteren 497 Zeichen, die sich in seinem Speicher befinden. Er gibt also sehr viel mehr Informationen preis, als er sollte. Möglicherweise auch Passwörter, Kreditkartendaten oder andere geheime Nutzerinformationen.


melden

Heartbleed Bug

13.04.2014 um 00:28
@brausud
Ja den Comic habe ich auch gepostet. Leider wurde er irgendwie verschluckt...

Hier noch mal der Ganze:
heartbleed explanation


melden

Heartbleed Bug

13.04.2014 um 11:10
Der sollte einen Preis bekommen für den Comic. So versteht man das ganze Problem wirklich gut.


melden

Heartbleed Bug

14.04.2014 um 12:20
Sehr Freundlich von den Herren der NSA.............
Weiterhin behält es sich die NSA aber aus Gründen der nationalen Sicherheit vor, Schwachstellen und Bugs für sich zu behalten, wenn sie von der Regierung entdeckt werden. Auch zu Zwecken der Strafverfolgung kann dieser Wissensvorsprung eingesetzt werden.
http://www.giga.de/extra/sicherheit/news/nsa-war-heartbleed-luecke-unbekannt/


melden

Heartbleed Bug

29.04.2014 um 19:40
Sehr nett von den Findern die Lücke der Öffentlichkeit bekannt zu machen.
Man hätte für ein Exploit die diese Lücke ausnutzt bestimmt 1 Mio. Dollar oder mehr verlangen können :D


melden

Heartbleed Bug

30.04.2014 um 09:14
brausud schrieb am 14.04.2014:Weiterhin behält es sich die NSA aber aus Gründen der nationalen Sicherheit vor, Schwachstellen und Bugs für sich zu behalten, wenn sie von der Regierung entdeckt werden. Auch zu Zwecken der Strafverfolgung kann dieser Wissensvorsprung eingesetzt werden.
Würde mich nicht erstaunen, wenn es gar keine Schwachstellen oder Bugs brauchen würde. Kann mir gut vorstellen, dass es in Programmen (und Betriebssystemen) einprogrammierte Hintertüren gibt, welche in Zusammenarbeit mit den netten Herren von diesem Verein entstanden sind.

Eodul


melden
Anzeige

Heartbleed Bug

30.04.2014 um 10:21
Eleganter ist es aber solche Hintertüren nicht als offensichtliche Geheimfunktion einzuprogrammieren sondern durch absichtliche Sicherheitslücken zu ermöglichen.

Aber ich bezweifle ob da so viel gezielt eingebaut wird. Übliche Software ist einfach von Natur aus voll von Sicherheitslücken.
Es ist wie mit Rohstoffabbau. Fast überall in der Erde sind Rohstoffe. Man muss nur genug Investitionen tätigen um sie ans Tageslicht zu fördern.

Das geschieht teilweise schon durch den freien Markt. Sogenannte IT Sicherheits Unternehmen, wie das französische Unternehmen Vupen, beschäftigen Fachkräfte damit wertvolle Sicherheitslücken zu finden und dann für den höchst anbietenden zu verkaufen.


melden

Neuen Beitrag verfassen
Dies ist eine Vorschau, benutze die Buttons am Ende der Seite um deinen Beitrag abzusenden.
Bereits Mitglied?  
Schriftgröße:
Größe:
Dateien Hochladen
Vorschau
Bild oder Datei hochladen

Bleib auf dem Laufenden und erhalte neue Beiträge in dieser Diskussion per E-Mail.


Oder lad dir die Allmystery App um in Echtzeit zu neuen Beiträgen benachrichtigt zu werden:

Ähnliche Diskussionen

178 Mitglieder anwesend
Konto erstellen
Allmystery Newsletter
Alle zwei Wochen
die beliebtesten
Diskussionen per E-Mail.

Themenverwandt
Aibo7 Beiträge