kostenloser Webspace werbefrei: lima-city


Heartbleed

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    medi-st-rochus

    medi-st-rochus hat kostenlosen Webspace.

    Htag/all">allo Community,

    vor einigen Tagen wurde ja die Sicherheitslücke "Heartbleed" in OpenSSL veröffentlicht.
    Haltet ihr diese für eine ernst zu nehmende Gefahr? Wenn ja, was ist einem Angreifer möglich von dem Server abzufangen?

    Gruß
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Um mal Bruce Schneier zu zitieren:

    "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.

    https://www.schneier.com/blog/archives/2014/04/heartbleed.html

    Die Sicherheitslücke ist sehr kritisch. Man kann damit zufällige Abschnitte des Arbeitsspeichers eines Computers (sowohl Client als auch Server) auslesen. Und wenn dann im Arbeitsspeicher geheime Informationen liegen, wie digitale Schlüssel, dann kann der Angreifer diese digitalen Schlüssel für seine Zwecke missbrauchen.
  4. Alle Dienste sollten diesen Fehler behoben haben, wenn du keinen eigenen Server hast einfach mit den Updates auf dem neusten Stand bleiben und das kann nicht mehr vorkommen. Blöd wärs, wenn sie deine Passwörter aber schon ausgelesen hätten, dann können sie ja immer noch darauf zugreifen. Also Passwörter bei wichtigen Diensten umbedingt ändern.

    Du als Privatperson kannst da nicht viel daran ändern, eigentlich nur die obigen Sachen, falls du eine Webseite überprüfen willst ob sie noch unsicher ist, kannst du das hier machen: https://filippo.io/Heartbleed/

    Aber wie schon erwähnt wurde, das war eine ziemliche Katastrophe.
  5. h***e

    Kritisch ja aber gefährlich nein.
    Die Sicherheitslücke war vorher nicht bekannt das bedeutet das höchstens nur einzelne hacker die Sicherheitslücke gekannt haben.
    Das heißt zwar nicht das kein schaden entstanden ist, aber wenn durch die Lücke ein schaden entstanden ist der Schaden nur gering.
    Jetzt hat jeder die Lücke geschlossen und niemand kann die Lücke mehr ausnutzen.


    Beitrag zuletzt geändert: 18.4.2014 16:58:00 von hpage
  6. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    bladehunter schrieb:
    Die Sicherheitslücke ist sehr kritisch. Man kann damit zufällige Abschnitte des Arbeitsspeichers eines Computers (sowohl Client als auch Server) auslesen.
    Das größere Problem daran ist aber, dass OpenSSL eine eigene Speicherverwaltung hat und dadurch NUR Daten von OpenSSL ausgelesen werden können (gerade ver-/entschlüsselte Daten oder die Schlüssel selbst). Auch ist es praktisch nicht Möglich das Programm durch den lesenden Zugriff zum Absturz zu bringen. Gleichzeitig ist es für den Administrator nicht möglich herauszufinden, ob ein Angriff durchgeführt wurde. All die Punkte zusammen machen Heartbleed derart »gefährlich«.

    @hpage: Wenn man keine Ahnung hat …
    Aber unqualifizierten Mist in Bezug auf Sicherheit verzapfen ist mindestens genauso gefährlich wie Heartbleed selbst, schließlich könnte es passieren, dass jemand, der selbst nicht viel zum Thema weiß, glaubt was du da schreibst!

    hpage schrieb:
    […] aber wenn durch die Lücke ein schaden entstanden ist der Schaden nur gering.
    Klar. Wenn praktisch alle privaten Schlüssel gestohlen werden konnten und vermutlich auch einige (viele) gestohlen worden sind, mit welchen eigentlich geheime (verschlüsselte) Informationen im Klartext (trotz Verschlüsselung) gelesen werden können, ist das natürlich kein oder nur ein geringer Schaden.
  7. Vermutlich gibt es in OpenSSL noch mehr Lücken (http://www.heise.de/newsticker/meldung/Noch-mehr-Herzbluten-bei-OpenSSL-2217286.html).

    Vielleicht ein guter Anlass, um auf PolarSSL umzusteigen (leider sind viele Programme damit fest verdrahtet, darum wird es uns auch in Zukunft erhalten bleiben…).

    Beitrag zuletzt geändert: 8.6.2014 13:55:34 von swm-test
  8. c*****e

    Zwar ist das Thema schon lange her, aber falls es in deinen Augen immer noch auf seltsame Seiten treffen solltest kannst du es auf https://filippo.io/Heartbleed/ mal Probieren. Dies ist nur eine von vielen Online Tests. Kannst einfach mal googlen nach z.b. "Heatbleed online test". Schreibe bitte falls du einen besseren Test finden solltest.

    CrackMe

    Beitrag zuletzt geändert: 30.6.2014 20:51:32 von crackme
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!