Heartbleed, anyone?

[footbâle]

Hat das Sicherheitsleck in OpenSSL (gut gewählter Name übrigens) hier irgend jemand beschäftigt - privat oder beruflich? Wurde jemand geschädigt? Kann man anonym ja mal zum besten geben.
Footbâle hat die Onlinebank PWs all seiner Accounts bei betroffenen Banken geändert, nachdem diese bestätigt hatten, dass das Update installiert bzw. das Problem gelöst.

Die IT Nerds hier können vielleicht mal ansagen, ob das wirklich eine sehr ernsthaftes Problem war/ist oder nur ein Sturm im Wasserglas?

[SubComandante]

Beruflich ja. Da hier Linux nur bei ein paar wenigen Sachen zum Einsatz kommt und sonstige freie Unixe eher etwas konservativ sind bei den OpenSSL Libs und deshalb vom Problem nicht betroffen waren, gabs nicht soviel Arbeit . Bei betroffenen Systemen, die nach aussen die entsprechend neueren SSL-Libs verwendeten für HTTPd, IMAPd oder andere Programme mussten entsprechend die Schlüssel gewechselt werden (da der SSL Private Key ja durch das Sicherheitsloch potentiel gelesen hat werden können).

Ich würde nicht in Panik verfallen. Ich würde es eher als Gelegenheit sehen, generell mal alle Passwörter zu ändern.

Mehr technisches über die Möglichkeiten eines Exploits:

http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html

Der Programmcode-Fehler lässt die Frage einer gewissen Absicht des Mitarbeiter eines grossen Telekom Unternehmens wirklich offen. Aber das ist wie bei vielen Sicherheitslöcher, die z.B. auch bei einigen Router aufgetaucht sind in den letzten Monaten. Oder kann es auch als Strategie ansehen: man baut nicht wirklich Backdoors ein, aber versieht Programme mit Sicherheitslöcher, die ein Zugang möglich machen - aber keine Absicht ist unterstellbar im Vergleich zu einer richtigen Backdoor. NSA-Strategie

Zufall? Nein - es wurde in weiterer Vergangenheit schonmal versucht, via Einschleussung von NSA-Mitarbeiter Sicherheitslöcher in OpenSSL/SSH einzubauen. Der Code blieb sogar drin, war aber fehlerhaft und deshalb nicht gefährlich. Das jetzige Sicherheitsloch ist seit ungefähr 2 Jahren da. Erst seit kurzem wurde es publik gemacht - aber man kann getrost davon ausgehen, dass es jemand schon früher fand und ausnutzte. Wie auch jetzt, schenkt man entsprechenden Leuten Glauben, einige Exploits vorhanden sind, die noch nicht bekannt sind.

Aber eben: es kann auch nur ein Programmiererfehler gewesen sein, der völlig unbeabsichtigt geschah.... Es ist keine Absicht unterstellbar.

Zur Frage noch: kein Sturm im Wasserglas - aber auch nicht bei allem so Heiss, wie's gegessen wird. Ein Root-Exploit im OpenSSH wäre ein Problem, resp. der Super-GAU.

[Cocolores]

Hier eine Hit Liste der Anbieter bei denen man das Passwort ändern sollte.

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

[footbâle]

.. sonstige freie Unixe eher etwas konservativ sind, ... die nach aussen die entsprechend neueren SSL-Libs verwendeten für HTTPd, IMAPd oder andere ... (da der SSL Private Key ja durch das Sicherheitsloch potentiel gelesen hat werden können). Ein Root-Exploit im OpenSSH wäre ein Problem, resp. der Super-GAU.

Dann möge uns der Allmächtige bitte einen "Root-Exploit im OpenSSH" ersparen.
Im Ernst - danke für die Antwort. Du hörst dich an wie mein IT Leiter. Also alles plausibel.

Für mich als ausserhalb der IT stehender Normalsterblicher ist es immer wieder erstaunlich, wenn solche Dinge passieren.
Dass reale Unternehmen reales Geschäft mit unsicheren Systemen abwickeln, finde ich extrem gewöhnungsbedürftig.

[SubComandante]

Dann möge uns der Allmächtige bitte einen "Root-Exploit im OpenSSH" ersparen.
Im Ernst - danke für die Antwort. Du hörst dich an wie mein IT Leiter. Also alles plausibel.

Für mich als ausserhalb der IT stehender Normalsterblicher ist es immer wieder erstaunlich, wenn solche Dinge passieren.
Dass reale Unternehmen reales Geschäft mit unsicheren Systemen abwickeln, finde ich extrem gewöhnungsbedürftig.

Reale Unternehmen haben meist schon sichere Systeme. Auch in diesem Fall hat ein Hacker (oder sonstwer) das Sicherheitsloch gefunden und dieses den Entwickler von OpenSSL zugespitzt (vielleicht haben sie's auch selber gemerkt). Danach wurden Anbieter von Clouds zuerst gewarnt, weil hier das heikelste liegt. Wie üblich haben die Entwickler alles publik gemacht inklusive Sicherheitspatch - die ganzen Paketierungteams der Betriebssysteme konnten sofort ein herunterladbarer Fix einspielen. Das Problem hier war, dass es nicht um ein alltägliches Sicherheitsloch handelte, das muss man halt so sagen. Es konnte Zufalls 16K Bereiches des Speicher des entsprechenden Prozesses mit einem einfachen Trick herausgelesen werden. Das heisst z.B. SSL-private Key oder auch User/PW Daten.

Das Problem bei allen Sicherheitslöcher ist: es gibt nicht nur gutartige Hacker - es gibt auch Sicherheitslöcher, die nur wenigen bekannt sind, die es ausnutzen anstatt die Öffentlichkeit zu informieren. Aber auch kein Problem, wenn Systeme so konzipiert sind, dass man mit einem Exploit nicht so heikle Dinge machen kann wie beim SSL-Problem (das potentiell 2 Jahre unentdeckt blieb - theoretisch: nicht alle Betriebssysteme haben per se immer die neueste SSL Version - die ganzen Solaris/FreeBSD/etc Systeme waren oft nicht betroffen deswegen) Und genau eine NSA bedient sich solcher Security Holes...

Die Unternehmensserver sind meist sicher genug. Aber man muss immer mit dem schlimmsten rechnen und von aussen zugängliche Systeme auch so auslegen, dass man davon ausgeht, dass es irgendwann ein Sicherheitsloch inkl. Exploit gibt. Ein anderes Problem sind Privatrechner ohne Schutz mit einem Keylogger oder Trojaner. Dazu gehören auch Mobiles...

[Mrrotblau]

Bin kein Experte darum ka obs damit zu tun hat: Sitze gerade im Alicante Flughafen, zurück vom FCB-Spiel.. Hab hier so ein Wireless-Pack gekauft, 12 Euro für 24h. So weit so gut, beim browsen dann allerdings festgestellt, dass fast jede Internetseite blockiert ist (das fcbforum glücklicherweise nicht ) , obwohl in den FAQ des Anbieters deutlich steht, dass diese funktionieren sollten. Ausserdem wurde bei manchen https Seiten darauf hingewiesen, dass Hacker im Spiel sein könnten die mich auf ne Fake-Seite locken wollen oder so. An die IT-Experten hier: Sind meine Daten in Gefahr? Kann jetzt jemand auf mein whatsapp, facebook, laptop, handy oder gar die Bankdaten (Zahlung für Wifi erfolgte via Paypal) zugreifen? Was sollte ich unternehmen?

Edit: Die Seiten werden von ner Autohändlerseite namens CarEuroDiscount.com gesperrt.

[rhybrugg]

Dann möge uns der Allmächtige bitte einen "Root-Exploit im OpenSSH" ersparen.
Im Ernst - danke für die Antwort. Du hörst dich an wie mein IT Leiter. Also alles plausibel.

Für mich als ausserhalb der IT stehender Normalsterblicher ist es immer wieder erstaunlich, wenn solche Dinge passieren.
Dass reale Unternehmen reales Geschäft mit unsicheren Systemen abwickeln, finde ich extrem gewöhnungsbedürftig.

Diese Systeme bestehen aus Millionen von Code aus verschiedenen Ecken und Enden der Welt. Ob das open-source oder closed-source ist: Fehler passieren und werden auch bei reviews und tests nicht entdeckt. Diese Dinge haben mittlerweile einfach eine Komplexität erreicht in der Fehler eine logische Konsequenz sind. Manchmal stürzen die Compis dann einfach ab, manchmal ist e sein sicherheitsrelevanter Bug oder manchmal spuckt der Compi ein falsches Resultat raus.
Ich finde das nicht gut...aber glaube, dass es unvermeidbar ist.

Heartbleed hatte, für einen Bug, auch gutes Marketing. Schöne Webseite, nettes Logo, guter Name. Das hat, nebst dem offensichtlichen Problem, dass Memory ausgelesen werden konnte (64k blöcke, nicht nur 16k?), sicher geholfen um in jegliche Zeitungen zu kommen. Auch in solche die sich sonst weniger für solche Dinge interessieren.

Gefixed war das Problem schnell. Über automatische Security updates, welche jede zB. Nacht eingespielt werden können, wurde bei vielen Systemen das update installiert. Vermutlich mussten ein paar Server noch neu gestartet werden, damit Sie das update wirklich verwendet haben. Bei uns war das auf jeden Fall schnell erledigt (ca. 40 Server). Danach noch ein paar Zertifikate ersetzt und gut ist. Natürlich haben nun unsere Kunden noch etwas Kommunikation mit den Endkunden zu erledigen.

Ich bin mir Ziemlich sicher, dass niemand wichtige Daten von mir geklaut hat. Beim E-Banking ist noch alles Geld da (und da hätte es eh two-factor auth) und mein E-Mail ist ebenfalls mit SMS Code abgesichert. Ich verwenden nirgends die gleichen Passwörter und habe ein paar Ersetzt (meistens ist der primäre E-Mail Account der wichtigste, würde ich sagen. Weil mit Zugang dazu kann man bei fast allen Diensten die Passwörter zurücksetzen lassen und bekommt das neue per Mail).

Vermutlich ist eh der Benutzer das grösste Sicherheitsrisiko. Nebst falsch verstandener Sicherheit (wenn ein Mitarbeiter sein Passwort jeden Monat Wechseln muss, dann ist relativ sicher, dass er es irgendwann von "Schatz1" auf "Schatz2" auf "Schatz3" ändert weil er sich soviele komplizierte Passwörter nicht merken kann. In dem Fall wäre "DerJobIstScheisseUndIchArbeiteNichtGerneHier" das sichere Passwort:-)).

So ich muss mich jetzt mal als admin im Forum einloggen und ein paar Accounts sperren:-)

[No_IP]

Die IT Nerds hier können vielleicht mal ansagen, ob das wirklich eine sehr ernsthaftes Problem war/ist oder nur ein Sturm im Wasserglas?

Die meisten IT-Nerds sind selten auf der Höhe eines Hacker's. Deshalb würde man gut daraun tun, die Hacker zu rekrutieren. Kein einziges Problem ist ein Sturm im Wasserglas.

Deshalb ist es unerlässlich, verfügbare Updates unverzüglich einzuspielen. Eine "pro-aktive" Firewall und ein AntiVirus Programm installiert zu haben (Internet Security).
Die Free Versionen taugen dabei nichts, darum sind reine Antiviren-Datenbkanken bei praktisch allen Anbietern gratis. Insbesondere beim Online-Banking und vom
Vermögen darauf abhängig.

Bei Lecks bei denen die Benutzer machtlos sind, sind so quasi der Supergau.

http://secunia.com/vulnerability_scanning/personal/

Ich bin mir Ziemlich sicher, dass niemand wichtige Daten von mir geklaut hat. Beim E-Banking ist noch alles Geld da (und da hätte es eh two-factor auth) und mein E-Mail ist ebenfalls mit SMS Code abgesichert. Ich verwenden nirgends die gleichen Passwörter und habe ein paar Ersetzt (meistens ist der primäre E-Mail Account der wichtigste, würde ich sagen. Weil mit Zugang dazu kann man bei fast allen Diensten die Passwörter zurücksetzen lassen und bekommt das neue per Mail).

Meistens sind es die Fehler der Benutzer welche aufs Phishing hereinfallen. Nur in diesem Fall ist das Sicherheitsrisiko eklatant, weil die Passwörter über die "echte" Verbindung ausgelesen werden konnten. Bei doppelter Authentifizierung ist man teilweise geschützt, wenn der Benutzer fahrlässig ist. Nur bei der Haertbleed hätte sich jeder Server mit gefälschter Identität ausweisen können. Das ist etwa so, wie ein falscher Polizist
einen echten Ausweis hätte. Davor kann man sich nicht schützen.

[SubComandante]

Und das mit automatischen Security Updates. Wenn man Systeme hat, die Dienste anbieten, die 24x7 da sein sollten (sprich: beliebte Webseiten, SMTPd/IMAPd), dann birgt das mit den nächtlichen Updates auch ein Risiko. Ein kleiner Fix kann immer dazu führen, dass danach Dinge nicht mehr so laufen, wie sie sollten. Also zuerst Testsystem damit füttern, Testen - danach Update von Hand ausführen. Und bei diesem Sicherheitsproblem mussten alle Dienste neu gestartet werden.

Beim e-Banking war keine Gefahr da, da man ja noch zusätzliche Authentifizierung nebst dem User/PW braucht. Ausser jemand konnte die Session hijacken, aber das wäre schon weit hergeholt. Das mit dem Phishing hätte man ausnützen können, da der Key ja ausgelesen hat werden können - theoretisch. Wie schon gesagt: das Problem hier war nicht nach dem Bekanntwerden ein wirkliches. Es wurde überall die entsprechende SSL-Lib upgedated. Das Problem bestand darin, dass theoretisch das Sicherheitsloch 2 Jahre da war und es wohl auch einigen bekannt war. Es gab doch einige Hinweise dazu, dass sogar ein Botnet dafür gebraucht wurde, Daten bei Server auszulesen.

[THOR29]

Hier eine Hit Liste der Anbieter bei denen man das Passwort ändern sollte.

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Merci fyr dä Link.
Hyt am Morge hän sy uff Radio Basilisk verzellt, das d NSA syt 2 Joor vo dere Sicherheits Lucke weiss und au konsequänt ussgnutzt het.

[SubComandante]

Merci fyr dä Link.
Hyt am Morge hän sy uff Radio Basilisk verzellt, das d NSA syt 2 Joor vo dere Sicherheits Lucke weiss und au konsequänt ussgnutzt het.

Haben die auch Quellen genannt?

Ein interessanter Vortrag bezüglich NSA-Methoden - kein Verschwörungstheoretiker, sondern jemand, der auch über die entsprechenden Skills verfügt (macht im TOR-Projekt mit so nebenbei).

[video=youtube;vILAlhwUgIU]http://www.youtube.com/watch?v=vILAlhwUgIU[/video]

Auch wenn bei einigen jetzt das technische Hintergrundwissen fehlt. Die Methodik der NSA und der totalen Überwachung sind das interessante am ganzen. Wie absolut und automatisiert das ganze inzwischen geworden ist.

[rhybrugg]

... Nur bei der Haertbleed hätte sich jeder Server mit gefälschter Identität ausweisen können. Das ist etwa so, wie ein falscher Polizist
einen echten Ausweis hätte. Davor kann man sich nicht schützen.

Dass du Zugriff auf das Cert meines Servers hast ist sehr unschön, nur nützt dir das nichts, solange die Clients direkt zu mir kommen. Du musst zuerst eine Möglichkeit haben eine Man-In-the-Middle Attacke zu fahren um mich dazu zu bringen zu dir zu kommen. Oder du musst den Traffic sniffen können. Es ist zwar einfach das Sicherheitsloch auszunützen aber danach ist es schwieriger auch etwas damit zu machen, dass kann dann nicht grad jedes Skript-Kiddy.

[rhybrugg]

Und das mit automatischen Security Updates. Wenn man Systeme hat, die Dienste anbieten, die 24x7 da sein sollten (sprich: beliebte Webseiten, SMTPd/IMAPd), dann birgt das mit den nächtlichen Updates auch ein Risiko. Ein kleiner Fix kann immer dazu führen, dass danach Dinge nicht mehr so laufen, wie sie sollten. Also zuerst Testsystem damit füttern, Testen - danach Update von Hand ausführen. Und bei diesem Sicherheitsproblem mussten alle Dienste neu gestartet werden.

Beim e-Banking war keine Gefahr da, da man ja noch zusätzliche Authentifizierung nebst dem User/PW braucht. Ausser jemand konnte die Session hijacken, aber das wäre schon weit hergeholt. Das mit dem Phishing hätte man ausnützen können, da der Key ja ausgelesen hat werden können - theoretisch. Wie schon gesagt: das Problem hier war nicht nach dem Bekanntwerden ein wirkliches. Es wurde überall die entsprechende SSL-Lib upgedated. Das Problem bestand darin, dass theoretisch das Sicherheitsloch 2 Jahre da war und es wohl auch einigen bekannt war. Es gab doch einige Hinweise dazu, dass sogar ein Botnet dafür gebraucht wurde, Daten bei Server auszulesen.

Better safe than sorry. D.h. Sicherheitsupdates automatisch einspielen. Kommt sicher auf die Umgebung drauf an... aber bei uns geht das so. Und bei debian zb. sind die packages recht stabil, wir haten noch nie Probleme damit.

[SubComandante]

Better safe than sorry. D.h. Sicherheitsupdates automatisch einspielen. Kommt sicher auf die Umgebung drauf an... aber bei uns geht das so. Und bei debian zb. sind die packages recht stabil, wir haten noch nie Probleme damit.

Hier kommt bei den meisten Server FreeBSD (nur etwa 10 Linux Server) zum Einsatz. Und da es bei BSD'en halt ein Base-System gibt, dass immer dieselbe SSL Version verwendet, halt gepatched bei Securityfragen und 8er und 9er zum Einsatz kommen (10 kommt erst ab 10.1 in Frage), war kein Patchen nötig.... Mal Glück gehabt Nebenbei gabs ein gutes nmap-Script, bei dem man einfach mal auch ein /16 "durchtesten" konnte; war sehr hilfreich.