Dose (22.08.2016), TomatenKetchup (09.04.2014)
-
09.04.2014, 10:55 #1
- Registriert seit
- 18.03.2013
- Beiträge
- 481
Thanked 264 Times in 168 PostsKritische Sicherheitslücke in OpenSSL
Vor kurzem wurde bekannt, dass in OpenSSL eine Sicherheitslücke existiert.
Alle Server-Betreiber sollten prüfen, ob sie hiervon betroffen sind:
Zitat von golem.de
-
The Following 2 Users Say Thank You to xOneDirectionx For This Useful Post:
-
09.04.2014, 18:28 #2
- Registriert seit
- 15.11.2011
- Beiträge
- 6.210
- Blog Entries
- 5
Thanked 9.132 Times in 3.006 PostsAW: Kritische Sicherheitslücke in OpenSSL
Bei der NSA dürfte wohl seit spätestens gestern eine durchgehende Orgie gefeiert werden, wenn die das nicht schon länger wussten und ausgenutzt haben. Viele Anbieter verzichten nämlich auf Perfect Forward Secrecy. Auch die Großen wie Apple & co. Mir ist nur von Google bekannt, dass dort PFS eingesetzt wird. Die NSA braucht sich somit bloß den jeweiligen Key holen und kann den gesamten verschlüsselten Traffic den sie von dieser Domain gespeichert haben entschlüsseln...
-
09.04.2014, 19:24 #3
AW: Kritische Sicherheitslücke in OpenSSL
So einfach ist das mit dem Key nicht, wer sich die Lücke genauer angeschaut hat weiß wieso.
Durch die Lücke kann man dem Gegenüber einen Payload mit 1kb statt 64kb beim heartbeat schicken, was darin resultiert, dass die gegenstelle diesen 1kb payload mit 63kb aus dem eigenen speicher 'auffüllt' und zurückschickt.
Das wirklich schlimme daran ist, dass man diesen Angriff nicht einmal bemerkt oder loggen kann.
Bei großen Servern, welche mitunter 128GB RAM und mehr aufweisen die entsprechende Speichermenge auszulesen um mit großer Wahrscheinlichkeit auf den richtigen Bereich mit dem Schlüssel zu gelangen dauert wohl ziemlich lange, zumal sich Speicherbereiche auch ändern (leider nicht der des Schlüssels).
Somit ist es möglich sämtliche semi-persistenten Daten (Daten deren Speicherort im RAM sich nicht ändert) im RAM auszulesen, sofern man denn genug Zeit hat.
Wer dazu genaueres wissen will, und wem die teilweise extrem reißerischen Titel verschiedener Online-Magazine auch so wie mir derbst auf den Sack gehen, der geht einfach auf Heartbleed Bug und liest sich den Krams durch.
Im übrigen muss ich Daniels aussage bzgl. Apple widersprechen sofern er damit das Betriebssystem meint, denn Apple setzt die Vulnerable Versiondes SSL-Protokollsder OpenSSL-Implementierung nicht in ihren Systemen ein, sondern eine ältere.
Zusätzlich sind Systeme die den Heartbeat ausgeschaltet haben ebenso nicht betroffen.
Aufgrund des Zeitaufwandes um diesen Bug erfolgreich auszunutzen sollte sich das Verhältnis "Anzahl Angreifer-->Website" eher bemerktbar machen als "Anzahl Websites-->Angreifer", denn es dürfte ziemlich klar sein, dass eine Seite wie Ebay, Amazon etc. sehr viel interessanter ist als es z.B. U-Hacks wäre.
Alles in Allem dürfte der wirtschaftliche Schaden durch diesen Bug im 12-Stelligen Bereich liegen und selbst das halte ich dann noch für niedrig.
100 Milliarden € erscheint mir noch recht moderat für eine Sicherheitslücke die fast das gesamte Internet betrifft.
Aus privaten Kreisen weiß ich, dass in diversen Firmen eigene Task-Forces für die Wiederherstellung eines vertrauenswürdigen Systems gebildet wurden, hier wird also bezahlte Arbeitszeit in das Problem gesteckt, bezieht man dies auf die gesamte Internetwirtschaft ~~> Überlegt mal selbst.
Wieso 'Vertrauenswürdiges System wiederherstellen'?
Weil seit bekannt werden dieses Bugs sämtliche Schlüssel, Passwörter und andere Sicherheitsrelevante Parameter als 'möglicherweise kompromittiert' gelten müssen. Die Gesamte Security muss also praktisch 'neu befüllt' werden.Java:
Spoiler:
Lustige Quotes:
Spoiler:
-
The Following User Says Thank You to Sky.NET For This Useful Post:
Dose (22.08.2016)
-
09.04.2014, 20:00 #4
- Registriert seit
- 15.11.2011
- Beiträge
- 6.210
- Blog Entries
- 5
Thanked 9.132 Times in 3.006 PostsAW: Kritische Sicherheitslücke in OpenSSL
Ne das OS war natürlich nicht gemeint sondern die Internetpräsenz. Das ist beim angebissenen Obst ja gleich in mehreren Hinsichten kritisch: Kundendaten im Apple-Store, iCloud-Krams etc (wobei man sich bei der iCloud eh die Frage stellen kann, ob Apples AGB nicht ohnehin schlimmer sind als mögliche Schäden durch diesen Bug). Die Lücke existiert übrigens nicht im Protokoll selbst, sondern in der OpenSSL Library, also einer Implementierung. Wer eine andere Library nutzt ist somit nicht betroffen. Wobei OpenSSL stark verbreitet ist, die Mehrheit wird also betroffen sein.
Und naja, so einfach ist das mit dem Key tatsächlich nicht. Aber die reelle Chance an Daten zu kommen an die man eigentlich nicht kommen sollte besteht. Es liegen ja auch noch andere Daten im RAM als nur das Masterzertifikat..
-
-
10.04.2014, 17:20 #5
- Registriert seit
- 09.04.2014
- Beiträge
- 2
Thanked 0 Times in 0 PostsAW: Kritische Sicherheitslücke in OpenSSL
Passwörter ändern kann nicht schaden! Dass man solche Lücken nicht früher entdeckt...
Ähnliche Themen
-
Gravierende Sicherheitslücke in iOS 6.1
Von Devon im Forum iOSAntworten: 1Letzter Beitrag: 15.02.2013, 16:58 -
Samsung-Smartphones: Kritische Lücke
Von Nachto im Forum IT & Technik NewsAntworten: 5Letzter Beitrag: 17.12.2012, 19:56 -
Kritische MySQL-Sicherheitslücke - Zugang ohne Passwort
Von Devon im Forum WebmasterAntworten: 1Letzter Beitrag: 11.06.2012, 20:25 -
Sicherheitslücke auf made-e.com
Von DMW007 im Forum HostingAntworten: 1Letzter Beitrag: 24.04.2012, 18:48
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.