Bedanken Bedanken:  0
Ergebnis 1 bis 3 von 3
  1. #1
    Avatar von salviner01




    Registriert seit
    Jul 2013
    Beiträge
    1.049
    Points
    407
    Level
    8
    Level completed: 14%, Points required for next Level: 43
    Overall activity: 0%
    Achievements:
    Social7 days registered500 Experience Points

    Gigantische Lücke bei verschlüsselten Websites

    Gigantische Lücke bei verschlüsselten Websites
    Fataler Fehler in der verbreiteten Verschlüsselungs-Software OpenSSL: Hacker können durch eine Lücke Passwörter stehlen. Experten raten, sich "die nächsten Tage komplett vom Internet fernzuhalten".

    Sicherheitsexperten warnen vor einem fatalen Fehler in der weit verbreiteten Verschlüsselungs-Software OpenSSL. Die Sicherheitslücke ermögliche es Angreifern, weltweit Passwörter sowie die zur Verschlüsselung benutzten Codes zu stehlen, teilte das auf Internetsicherheit spezialisierte Unternehmen Fox-IT mit. Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Fehler als kritisch ein.

    OpenSSL wird dazu benutzt, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. Angewendet sie wird zum Beispiel von E-Mail-Diensten oder beim Online-Banking.
    Die "Heartbleed" (Herzbluten) getaufte Sicherheitslücke ermöglicht es Angreifern, auf den Arbeitsspeicher von Webservern zuzugreifen, die OpenSSL einsetzen. Dort können dann sowohl die verschickten Daten als auch die für ihren Schutz verwendeten Schlüssel gestohlen werden.

    Der Fehler betrifft laut Experteneinschätzungen eine halbe Million Webserver, darunter prominente Dienste wie Yahoo, den Bilderdienst Imgur oder die Datingseite OKCupid. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte: "Die Schwachstelle ist aus Sicht des BSI als kritisch einzustufen. Ein Angreifer ist damit unter Umständen in der Lage, verschlüsselte Kommunikation zwischen Client und OpenSSL-Server mitzulesen."

    Seine Folgen lassen sich nicht durch ein einfaches Software-Update beheben, kommentiert das BSI: "Auch wenn ein Update von OpenSSL durchgeführt wird, können bereits kompromittierte Schlüssel für einen Angriff genutzt werden." Aus dem trockenen Deutsch der Sicherheitsforscher übersetzt, bedeutet das: Der Fehler ermöglicht Angreifern, die Schlüssel für verschlüsselte Internet-Verbindungen aller Art zu stehlen, diese auch im Nachhinein zu entschlüsseln, und damit sensitive Daten wie Bankinformationen, Nutzerpasswörter oder E-Mail-Daten zu stehlen.


    Entdeckt hatte den Fehler der Google-Sicherheitsforscher Neel Mehta, der die Open-SSL-Entwickler darauf hinwies. Diese warnten daraufhin in der Nacht von Montag auf Dienstag in einem Sicherheitsbriefing ihre Nutzer.

    SSL steht für Secure Sockets Layer, der Standard dient dazu, Verbindungen zwischen Internetservern und Internetnutzern auf grundlegender Ebene zu verschlüsseln, er ist der weltweit meistverbreitete Web-Sicherheitsstandard. OpenSSL wiederum ist die meistgenutzte Implementierung dieses Standards, da sie als offene Software umsonst verfügbar ist.

    20 Prozent der Webserver nutzen Funktion

    Der Fehler erlaubt einem Angreifer, kleine, nur 64 Kilobyte große Happen aus dem Arbeitsspeicher eines Webservers auszulesen, der OpenSSL nutzt, indem er eine Funktion namens Heartbeat missbraucht, die eigentlich nur die Verbindung zwischen Server und Client sicherstellen soll. Etwa 20 Prozent aller Webserver mit SSL-Verschlüsselung nutzen diese Funktion. Angreifer können prinzipiell unentdeckt und beliebig oft den Fehler nutzen und so nach und nach große Teile des Arbeitsspeichers des angegriffenen Servers kopieren.

    Im Arbeitsspeicher wiederum sind die Software-Schlüssel hinterlegt, mit denen der Server die Verbindung mit den Nutzern entschlüsselt. Angreifer können also völlig unentdeckt komplette als sicher geglaubte Verbindungen zwischen Nutzern und Server mitschneiden, diese mittels des gestohlenen Schlüssels aufschließen und die Inhalte – also etwa Mail-Passwörter, Kontodaten oder geheime und sicherheitsrelevante Daten – mitlesen.

    Schlimmer noch: Der Bug betrifft eine Softwareversion von OpenSSL, die bereits seit zwei Jahren in Verwendung ist. Theoretisch können Angreifer wie etwa staatliche Geheimdienste mit entsprechenden Ressourcen seit Jahren den Verkehr eines Servers beobachten und mitschneiden, und jetzt mit den nun verfügbaren Schlüsseln im Nachhinein die zuvor gespeicherten Verbindungen entschlüsseln.

    "Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Extension eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden", kommentiert das BSI.

    Update reicht nicht aus

    Den Nutzern betroffener Dienste bleibt nur, vorerst die Seiten zu meiden, denn ein Update der Serversoftware reicht nicht aus – die Server benötigen nun neue Schlüsselzertifikate, da die alten Schlüssel nun als unsicher gelten müssen. Ob ein Angreifer tatsächlich die Schlüssel geklaut hat, lässt sich im Nachhinein nicht feststellen.

    Der Zertifikate-Spezialist Globalsign warnt in seinem Blog bereits davor, die alten Schlüssel weiter zu nutzen, und bietet kostenlosen Austausch an. Auch das BSI empfiehlt Server-Administratoren, ihre Zertifikate auszutauschen. Bis jedoch alle Webanbieter ihre Schlüssel getauscht haben, dürften einige Tage vergehen.

    Die Entwickler der Internettarnkappe TOR raten sicherheitsbewussten oder von Verfolgung bedrohten Nutzern sogar dazu, vorerst völlig dem Internet fernzubleiben, da nicht sichergestellt sei, welche Dienste bereits neue Zertifikate nutzen.

    Der Fehler könnte auch für Dissidenten in autoritären Staaten wie Syrien oder dem Iran katastrophale Folgen haben, wenn ihre als sicher geglaubten Internetverbindungen nun im Nachhinein von staatlichen Geheimdiensten entschlüsselt werden.

    Kann mir mal einer erklären, warum ich meine Passwörte jetzt ändern soll. Denn zum ändern des Passwortes muss ich ja erst recht die wichtigen Daten (Sicherheitsfrage, Name oder Adresse) übermitteln. Und wenn die durch die Schwachstelle abgegriffen werden, bin ich doppelt gearscht.
    Die reinste Form des Wahnsinns ist es, alles beim Alten zu lassen und gleichzeitig zu hoffen, dass sich etwas ändert.
    Albert Einstein (1879-1955)

  2. #2
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.112
    Points
    6.789
    Level
    54
    Level completed: 20%, Points required for next Level: 161
    Overall activity: 52,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive
    „Heartbleed“-Bug
    Ist das der GAU im Internet?
    Technikexperten haben eine Sicherheitslücke im Internet entdeckt und sprechen vom „Super-Gau“ im Netz. Die meisten Nutzer verstehen aber gar nicht, was genau passiert ist. Was können sie nun tun, welche Passwörter ändern?


    © Filippo Valsorda
    Was ist Heartbleed?
    Heartbleed ist eine Sicherheitslücke in einer Verschlüsselungs-Software, die eigentlich Sicherheitslücken vermeiden soll. Und das ist auch schon das Gemeine daran. Die Software heißt OpenSSL und macht Informationen wie Passwörter oder E-Mail-Inhalte auf ihrem Weg durchs Internet für Dritte unleserlich - eigentlich. Seit Heartbleed entdeckt wurde, wissen Computerexperten, dass Datendiebe auch verschlüsselte Kommunikation ausspionieren können. Deshalb sprechen sie vom „Super Gau“ im Internet.

    Ist das wirklich der Super Gau für den einfachen Internet-Nutzer?
    Das ist leider möglich. Denn selbst wenn sich jetzt alle Server-Administratoren bemühen, das Problem schleunigst zu beheben: Die Lücke bestand wohl schon seit etwa zwei Jahren. Und was Datendiebe womöglich in der Vergangenheit geklaut haben, das ist nun unwiderruflich in ihren Händen.

    Kann man denn gar nichts machen?
    Sobald ein Seitenbetreiber die Lücke geschlossen hat, können Nutzer ihr Passwort ändern und so zumindest vermeiden, dass in Zukunft Kommunikation von Dritten abgefangen wird.

    Welche Passwörter muss ich ändern?
    Das Tech-Blog „Mashable“ hat bei betroffenen Internetseiten nachgefragt, ob sie den Fehler behoben haben und die Nutzer ihr Passwort ändern sollten. Die sozialen Netzwerke Facebook und Tumblr, aber auch der E-Mail-Anbieter Yahoo raten demnach dazu, das Passwort zu ändern. Gleiches gilt für Dropbox, Soundcloud und Wunderlist. Der Internetkonzern Google teilte mit, dass Nutzer ihr Passwort nicht ändern müssten - die Betreiber von „Mashable“ raten dennoch dazu, da Google die Sicherheitslücke bestätigt habe.

    Kann ich herausfinden, ob zum Beispiel mein E-Mail-Anbieter von dem Fehler betroffen ist?
    Ja. Der italienische Programmierer Filippo Valsorda hat eine Art Werkzeug ins Netz gestellt, mit dem man testen kann, ob eine bestimmte Internetseite betroffen ist.: http://filippo.io/Heartbleed/.

    Aber was ist mit Seiten, die in der Vergangenheit betroffen waren? Datendiebe könnten doch meine E-Mails längst gelesen haben...
    Richtig. Auf Valsordas Seite tauchten noch vorgestern sehr bekannte Namen als von der Sicherheitslücke betroffen auf: Der E-Mail-Anbieter web.de (United Internet) war zum Beispiel darunter. Inzwischen hat United Internet reagiert und “die entsprechenden Updates vorgenommen, so dass alle Systeme auf dem neuesten Stand sind“, sagte ein Sprecher zu FAZ.NET. Auch andere sehr bekannte Seiten waren laut Valsorda zumindest in der jüngeren Vergangenheit betroffen, darunter Yahoo, Flickr und Doodle. Aber auch Nachrichtenseiten wie economist.com oder zdf.de stehen auf der Liste.

    Was kann ich tun, wenn ich einen Webserver oder E-Mail-Server betreibe?
    OpenSSL hat bereits in der Nacht zu Dienstag eine neue Version zur Verfügung gestellt, die die Schwachstelle schließen soll. Betreiber sollten so schnell wie möglich dieses Update durchführen. Doch auch das schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher Betreibern von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen.
    Quelle
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


  3. #3
    Avatar von salviner01




    Registriert seit
    Jul 2013
    Beiträge
    1.049
    Points
    407
    Level
    8
    Level completed: 14%, Points required for next Level: 43
    Overall activity: 0%
    Achievements:
    Social7 days registered500 Experience Points
    Heartbleed: SPD will Open-Source-Sicherheit staatlich unterstützen

    Software wie OpenSSL, in der der Heartbleed-Fehler aufgetaucht ist, ist in einer weitgehend digitalen Welt zu einer kritischen Infrastruktur für Wirtschaft und Bürger geworden – vergleichbar mit einer Straße. Doch um die Sicherheit dieser „Straße" sorgen sich derzeit noch Freiwillige – ohne staatliche Unterstützung. Das soll sich nach dem Willen der SPD nun ändern.

    Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion, fordert nun, dass das beim Bundesinnenministerium angesiedelte Bundesamt für die Sicherheit in der Informationstechnik (BSI) die Freiwilligen bei der Sicherheitsüberprüfung unterstützt. „Die aktuelle Debatte um Heartbleed zeigt die Notwendigkeit, Open-Source-Software zu unterstützen und zu fördern. Hierbei sind IT-Sicherheits-Audits ein wichtiges Element des IT-Grundschutzes", sagte Klingbeil dem Wall Street Journal Deutschland. „Voraussetzung ist, dass es eine entsprechende Finanzierung gibt, die ein angemessenes Security-Audit für OpenSSL und andere Open-Source-Security-Software möglich macht. Hier sehe ich eine öffentliche Unterstützung, beispielsweise durch das BSI, als dringend notwendig an", fügte er hinzu. Bei Security-Audits handelt es sich um eine systematische Überprüfung der Sicherheit einer Software.

    CDU: Vorschlag geht in "richtige Richtung"
    Vorsichtig offen für den Vorschlag zeigt sich auch der Koalitionspartner. Der netzpolitische Sprecher der Unionsfraktion, Thomas Jarzombek (CDU), sagte, der Vorschlag „zeige in die richtige Richtung." Er wolle allerdings erst abwarten, was die Open-Source-Community selbst von einem solchen Vorstoß hält und zuvor Gespräche mit Sicherheitsexperten führen. Es gelte noch eine Reihe Fragen zu klären, zum Beispiel ob das BSI sinnvoll Software auditieren kann, die es selbst nicht mitentwickelt. „Auf jeden Fall kann hier mit Energie und Geld sehr viel mehr erreicht werden, als mit dem unsinnigen Vorschlag eines Schengennetzes", sagte Jarzombek.

    Der Code der Software OpenSSL, in den der schwerwiegende Heartbleed- Fehler eingebaut wurde, ist offen – das heißt für jeden einsehbar. Auch Anpassungen am Code kann jeder bei solcher Open-Source-Software vornehmen und das Programm selbst ist kostenlos nutzbar. Die Sicherheit der für das gesamte Internet kritischen Anwendung lastet dabei bisher auf wenigen Schultern: Das elf Leute umfassende Team besteht zum größten Teil aus Freiwilligen; nur einer arbeitet Vollzeit. Das Budget beträgt weniger als 1 Million US-Dollar im Jahr.

    Unterstützung für die SPD-Forderung kommt von der Linken. Halina Wawzyniak, netzpolitische Sprecherin ihrer Fraktion, sagte, dass auch Sicherheits-Audits einen Beitrag leisten können, Lücken wie den Heartbleed-Fehler zu erkennen. Ohnehin habe die Linke schon „schon immer gefordert, dass Open Source finanziell unterstützt werden muss, zum Beispiel durch die Vergabe öffentlicher Aufträge." Eine Anfrage an das Bundesinnenministerium, das für das BSI zuständig ist, blieb bis zum Dienstagmittag unbeantwortet.

    Quelle

    Ich würde das mir so Vorstellen: ein deutschladweites Tor-ähnliches Netzwerk vom Router bis zur gewünschten Zieladresse. Und zusätzlich ein Gesetz, welches jegliches eingreifen des Providers und der Staatsorgane verbietet.
    Die reinste Form des Wahnsinns ist es, alles beim Alten zu lassen und gleichzeitig zu hoffen, dass sich etwas ändert.
    Albert Einstein (1879-1955)

Ähnliche Themen

  1. Antworten: 5
    Letzter Beitrag: 15.04.15, 09:52
  2. Uralte Websites
    Von st0rm im Forum Sonstiges
    Antworten: 0
    Letzter Beitrag: 18.11.12, 12:56

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •