"Heartbleed" - Sicherheitslücke in OpenSSL

Dieses Thema im Forum "Media 2.0" wurde erstellt von Anonymous, 10. April 2014.

  1. Anonymous

    Anonymous Guest

    Und, habt ihr heute schon alle eure Passwörter geändert? Alle Zertifikate abgelehnt?
    :selfhammer:
     
  2. @Mic:
    Ist sequencer.de von der Sicherheitslücke betroffen?
    Gibt es einen Status?

    (wg. Passwortänderung)
     
  3. Nоrdcore

    Nоrdcore Spezialist

    Da die Passwörter hier (wie durchaus Foren-üblich) immer im Klartext übertragen werden ist Sequencer.de nicht betroffen.
     
  4. Moogulator

    Moogulator Admin

    Nein, Sequencer.de ist nicht betroffen.
     
  5. Psychotronic

    Psychotronic aktiviert

    Es ist nicht zu empfehlen eure Passwörter und Keys für Shops und Onlinebanking jetzt zu ändern. Die Lücke aus allen Systemen rauszubekommen ist schwierig. Wartet damit ein halbes Jahr und nervt die Shop und onlinebanking Betreiber. Wenn die sagen das sie es gefixt haben, dann Passwörter ändern.
     
  6. dbra

    dbra Technohanfking

    Soweit ich weiß ist die Lücke in OpenSSL bereits gefixt und ist durch ein simples Softwareupdate zu beheben.
     
  7. Man muss jeden Server einmal echt restarten. Bei großen Cluster-Systemen wie Amazon oder ebay, die warten müssen biss sich alle vom betreffenden Node abgemeldet haben, kann das Monate dauern.
     
  8. Psychotronic

    Psychotronic aktiviert

    Guck dir mal die Rechenzentren von Firmen an. Schau dir mal an wie viele alte Server dort stehen, guck dir dann mal das Alter der Software an. :floet:
     
  9. dbra

    dbra Technohanfking

    Automatisches Update anstoßen und Server resetten sind wirklich hohe Admin-Kunst... :roll:
     
  10. Psychotronic

    Psychotronic aktiviert

    Denen trau ich zu dass das schneller geht... Probleme sehe ich eher bei kleinen Shops mit Software "direct download" + Paypal und co. Das Zeug wird irgendwo gehostet. Managed Server und so... die muss man nerven. Ich empfehle hier zumindest Random generierte Passwörter + Passwort Safe. So das zumindest nicht von einem Shop Account auf nen anderen geschlossen werden kann. Gesamt random generierte Userdaten sind bei Direct Download Softwarekauf sowieso zu empfehlen. Wer euch nichts liefern muss, braucht eure Adresse nicht, usw.
     
  11. Psychotronic

    Psychotronic aktiviert

    Glaubst du das für alle Linux/Unix Distributionen in Rechenzentren dieser Welt bereits Updates bereit stehen? Dass das Update bereits im Source Repo vom OpenSSL ist, ist fast egal.
     
  12. Ich bin beeindruckt von Deinen Kenntnissen des Sessionhandlings in Loadbalanced Serverenvironments
     
  13. dbra

    dbra Technohanfking

    Mit Clustern hatte ich (zum Glück) noch nie zu tun. Aber kannst mir nicht erzählen, das es da keine Option gibt, keine neuen Sessions mehr anzunehmen und das alte monatelang aktiv sind?
     
  14. Anonymous

    Anonymous Guest

    Warum nicht, eigentlich wär doch zu empfehlen die PW sowohl jetzt als auch später zu ändern.
    Selbst wenn es jetzt nicht gefixt ist, muss ja der Server neu kompromittiert werden um das neue PW zu holen, und das während es es grad im Speicher ist.
    Also selbst ungefixt hat man mit ändern einen Sicherheitsgewinn, oder? Nicht "Sicherheit" sondern "weniger Unsicherheit".
     
  15. Psychotronic

    Psychotronic aktiviert

    Wenn man es nach dem Patch des jeweiligen Server noch mal ändert. Ja. Wichtig ist, das es halt dann auf jeden Fall passiert.
     
  16. Nоrdcore

    Nоrdcore Spezialist

    a) So lange das nicht gefixt ist, sind häufige Passwortwechsel sinnvoll.
    b) Viele Server nutzen gar kein SSL = da sind die Passwörter von vornherein *immer* so unsicher, als ob jeder Angreifer den privaten SSL-Key erbeutet hätte!
     
  17. Psychotronic

    Psychotronic aktiviert

    Korrekt. Daher für jeden Account ein random generiertes Passwort, bei wichtigen Sachen alle paar Monate wechseln. Nur low risk assets ohne https fahren.

    Wem das zu aufwendig ist, das manuell zu machen:

    Sowas hier unterstützt den Prozess.

    http://keepass.info/

    Wer paranoid ist wie ich, speichert die Storage auf nem verschlüsseltem USB Stick.

    Shop Systeme und Online Banking sind im allgemeinen heute schon gesichtert. Wer sowas ungesichert nutzt sollte sich im Klaren sein was er da tut.
     
  18. Moogulator

    Moogulator Admin

    Es gibt noch etwas - bekannte Plattformen sind natürlich auch schneller in den Medien. Räuberei von Adoba, Google, Facebook …
    Aber kleinere Sachen eher nicht, dann ists eher sowas wie Anfälligkeit des CMS, Forumssoftware, etc. - nach der man Ausschau halten kann.

    Angriffe auf ein Forum lohnen sich freilich weniger als auf ein großes System mit relevanten Daten. Sprich - Ob User TB303 hier seine Email hinterlässt oder auf Facebook eine ganze Lebensgeschichte…
    Und mit einem gekaperten Account kann man auch sehr unterschiedliche Dinge anstellen.
    Deshalb sollte man bei den Schlüsselplattformen schon eine gute Vorsicht walten lassen und - ja, irgendwo ist das zentrale Speichern von PWs auch ein potenzielles Interessengebiet.

    Ganz gut realistisch schützen könnten 2-Weg System, nur ist das nicht hilfreich wenn man kein Handy hat, denn das System muss ja unabhängig sein und umgekehrt ist ein Handy dann natürlich kein so guter Ort, weil DORT dann das Interesse wächst, diese Sachen abzufangen und das 2-Weg System dann schwer funktioniert, denn dort kommt ja alles an. Aber - dennoch ist es eine ganz gute Zusatzfunktion für den Schutz allgemein.
    Die Hersteller und Plattformbetreiber bieten das immer mehr an, meist bei wichtigen administrativen Sachen oder Neuanmeldung. Bei Apple inzwischen beim Kauf eines Rechners auch schon - auf Wunsch allerdings. Ist wegen Diebstahlgefahr auch nicht mal schlecht. Aber - es bleibt ein ständiges ewiges Räuber & Gendarm - Getöse.

    Passworte - Der Schutz der 2000er. Was kommt dann?..
    Und wie die Leute in meinem Umfeld ihre Passworte wählen ist zum Teil schon noch immer ziemlich schwierig, weil sie eben nicht alles behalten können. Also - jedes mal beim einloggen - slg5wfpv7fntbguwth eingeben und merken können - alle 2 Wochen rotieren und das alles dann auf die eigene Platte speichern. Öaaa. NSA kommt dahinter.

    Aber es ist gut, dass sowas hin und wieder bekannt wird, vielleicht hilft es ja was..
    Aber ich sehe schon, was da alles passiert -Passwortzettel - Browser speichert Passworte - Auslesen über Tricks, Sammelstellen für PWs..

    sie haben vergessen ihr Lieblingstier und ihren ersten Synthesizer einzugeben.
    Das müsste man hier machen, besser als Captcha, wa?
    Aber auch doof.
    Sind sie menschlich? Ja, Sack, lass mich rein..
     
  19. Anonymous

    Anonymous Guest

    Biometrie
    <grusel>
     
  20. Moogulator

    Moogulator Admin

    Das ist keine Kryptographie. Das was hier gar nicht passt ist, dass dies pro Mensch eine ID bringt, aber nicht eine Legitimation übers Netz, dass man der ist für den man sich aus gibt. Dh, das müsste schon eher eine Verschlüsselung sein - ggf. nur der Einfachheit wegen als Biodaten - aber das wäre höchst bedenklich. Schon als Abdrucksensor für DEIN Handy oder so eignet sich das nur bedingt. Teilweise sogar weniger als einfach der berühmte Code.
     
  21. Strelokk

    Strelokk Glitch Bitch

  22. Anonymous

    Anonymous Guest

    Stimmt, das war etwas kurz gedacht - das Problem ist natürlich daß jeder überall solche Biodaten mit entsprechendem Gerät abgreifen und kopieren/fälschen kann.

    Aber trotzdem wird ja zunehmend Biometrie eingesetzt, nicht nur bei Apple
    Eigentlich ist es doch kein Unterschied, ob das nur lokal oder übers Netz passiert.

    Übers Netz bedeutet ja eigentlich nur, daß das Gerät räumlich großer ist,
    und das Signal über diverse mehr oder weniger offene Kanäle/Leitungen/Knotenpunkte/ect geht.

    Oder es kommen Wegwerf-Hardware Dongle in Mode, die man im 100er Pack kauft.
    Die dann gefälscht sind...
     
  23. Moogulator

    Moogulator Admin

    Ach, NSA, die kennen die Noise-Patterns schon die da genutzt werden als Zufall, jetzt sind sie wieder in Ordnung und jetzt sind es ein paar deutsche Bugs - wir werden noch viele sowas finden.
    Wer fragt eigentlich in Zukunft die anderen Geheimdienste, die machen das ja auch - kann man von aus gehen. China, Russland, Israel, Dänemark, Liechtenstein..
     
  24. Anonymous

    Anonymous Guest

    ich glaub so ne "don't touch that box" steht überall rum :floet:
    wenigstens wird jetzt mal wirklich überall in den wichtigen code reingeguckt, es werden noch mehr Klopse kommen :kaffee:
     

Diese Seite empfehlen