Heartbleed
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
abschnitt
all
angreifer
angriff
auslese
computer
datum
dienst
geringer schaden
information
lesenden zugriff
privatperson
programm
schaden
server
tag
test
url
zitieren
zweck
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Um mal Bruce Schneier zu zitieren:
"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.
https://www.schneier.com/blog/archives/2014/04/heartbleed.html
Die Sicherheitslücke ist sehr kritisch. Man kann damit zufällige Abschnitte des Arbeitsspeichers eines Computers (sowohl Client als auch Server) auslesen. Und wenn dann im Arbeitsspeicher geheime Informationen liegen, wie digitale Schlüssel, dann kann der Angreifer diese digitalen Schlüssel für seine Zwecke missbrauchen. -
Alle Dienste sollten diesen Fehler behoben haben, wenn du keinen eigenen Server hast einfach mit den Updates auf dem neusten Stand bleiben und das kann nicht mehr vorkommen. Blöd wärs, wenn sie deine Passwörter aber schon ausgelesen hätten, dann können sie ja immer noch darauf zugreifen. Also Passwörter bei wichtigen Diensten umbedingt ändern.
Du als Privatperson kannst da nicht viel daran ändern, eigentlich nur die obigen Sachen, falls du eine Webseite überprüfen willst ob sie noch unsicher ist, kannst du das hier machen: https://filippo.io/Heartbleed/
Aber wie schon erwähnt wurde, das war eine ziemliche Katastrophe. -
Kritisch ja aber gefährlich nein.
Die Sicherheitslücke war vorher nicht bekannt das bedeutet das höchstens nur einzelne hacker die Sicherheitslücke gekannt haben.
Das heißt zwar nicht das kein schaden entstanden ist, aber wenn durch die Lücke ein schaden entstanden ist der Schaden nur gering.
Jetzt hat jeder die Lücke geschlossen und niemand kann die Lücke mehr ausnutzen.
Beitrag zuletzt geändert: 18.4.2014 16:58:00 von hpage -
bladehunter schrieb:
Das größere Problem daran ist aber, dass OpenSSL eine eigene Speicherverwaltung hat und dadurch NUR Daten von OpenSSL ausgelesen werden können (gerade ver-/entschlüsselte Daten oder die Schlüssel selbst). Auch ist es praktisch nicht Möglich das Programm durch den lesenden Zugriff zum Absturz zu bringen. Gleichzeitig ist es für den Administrator nicht möglich herauszufinden, ob ein Angriff durchgeführt wurde. All die Punkte zusammen machen Heartbleed derart »gefährlich«.
Die Sicherheitslücke ist sehr kritisch. Man kann damit zufällige Abschnitte des Arbeitsspeichers eines Computers (sowohl Client als auch Server) auslesen.
@hpage: Wenn man keine Ahnung hat …
Aber unqualifizierten Mist in Bezug auf Sicherheit verzapfen ist mindestens genauso gefährlich wie Heartbleed selbst, schließlich könnte es passieren, dass jemand, der selbst nicht viel zum Thema weiß, glaubt was du da schreibst!
hpage schrieb:
Klar. Wenn praktisch alle privaten Schlüssel gestohlen werden konnten und vermutlich auch einige (viele) gestohlen worden sind, mit welchen eigentlich geheime (verschlüsselte) Informationen im Klartext (trotz Verschlüsselung) gelesen werden können, ist das natürlich kein oder nur ein geringer Schaden.
[…] aber wenn durch die Lücke ein schaden entstanden ist der Schaden nur gering. -
Vermutlich gibt es in OpenSSL noch mehr Lücken (http://www.heise.de/newsticker/meldung/Noch-mehr-Herzbluten-bei-OpenSSL-2217286.html).
Vielleicht ein guter Anlass, um auf PolarSSL umzusteigen (leider sind viele Programme damit fest verdrahtet, darum wird es uns auch in Zukunft erhalten bleiben…).
Beitrag zuletzt geändert: 8.6.2014 13:55:34 von swm-test -
Zwar ist das Thema schon lange her, aber falls es in deinen Augen immer noch auf seltsame Seiten treffen solltest kannst du es auf https://filippo.io/Heartbleed/ mal Probieren. Dies ist nur eine von vielen Online Tests. Kannst einfach mal googlen nach z.b. "Heatbleed online test". Schreibe bitte falls du einen besseren Test finden solltest.
CrackMe
Beitrag zuletzt geändert: 30.6.2014 20:51:32 von crackme -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage