News Bug in Open-SSL Verschlüsselung
- Ersteller Einbecker
- Erstellt am
User-News
Von Einbecker
Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.Das weit verbreitete Verschlüsselungsprotokoll Open-SSL in der Version 1.0.1 ist vom so getauften Heartbleed-Bug betroffen. Die komplette Verschlüsselung des Datenverkehrs, einschließlich Zugangdaten, wird damit ad absurdum geführt. Auch aufgezeichneter Datenstrom lässt sich im nachhinein noch entschlüsseln. Ältere Versionen und die Version 1.0.1g sollen nicht betroffen sein.
http://www.heise.de/security/meldun...ung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
http://www.heise.de/security/meldun...ung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
Stefan Payne
Grand Admiral Special
das ist aber Käse, Geheimdienste würden das nicht so offensichtlich und ungetarnt machen. Immerhin hätte das auch früher schon auffallen können, wenn nur einer halbwegs hingeschaut hätte. Verschwörungstheorien kommen immer dann auf, wenn man einfach nicht glauben kann, daß so dilettantisch gearbeitet wird: Wie konnte der 11.9. passieren? Sicher hat die US-Regierung davon gewußt, denn so dämlich können die ja nicht sein, so ungeschätzt darf unser Leben doch nicht sein, oder? Ne nette Verschwörungstheorie verschiebt die Verantwortung immer schön auf andere. Hier ist es dasselbe: Sicher ist der Code nicht mit der erforderlichen Sicherheitsethik geschrieben worden, aber es ist nun mal Open Source, d.h. theoretisch unbegrenzte "Zuschauerzahl" vor dem Release, es hat sich aber keiner rechtzeitig richtig angeschaut, dabei ist es doch wichtiger und sicherheitsrelevanter als 99,9% der anderen OpenSource-Programme.
Sicher könnte auch ein Geheimdienst sowas programmieren, aber dann jubeln sie diese eigene Version nur dem Zielrechner unter, denn eine Überwachung soll ja auch nachträglich nie auffallen, d.h. man darf sowas nie in die Öffentlichkeit gelangen lassen, wo man praktisch sicher sein kann, daß irgendwann irgendein Kamel das Gras abfrißt, was darüber gewachsen ist. Die Zielperson darf nicht mal vermuten, daß sie evtl. abgehört wurde.
Sicher könnte auch ein Geheimdienst sowas programmieren, aber dann jubeln sie diese eigene Version nur dem Zielrechner unter, denn eine Überwachung soll ja auch nachträglich nie auffallen, d.h. man darf sowas nie in die Öffentlichkeit gelangen lassen, wo man praktisch sicher sein kann, daß irgendwann irgendein Kamel das Gras abfrißt, was darüber gewachsen ist. Die Zielperson darf nicht mal vermuten, daß sie evtl. abgehört wurde.
nur der Vollständigkeit halber, für die, die es bisher immer noch nicht mitgekriegt haben oder einfach mal einen Überblick haben wollen: http://www.3dcenter.org/news/welche-dienste-sind-von-heartbleed-betroffen
Wobei natürlich nicht gesagt ist, daß die anderen Lösungen, die von den nicht betroffenen Diensten verwendet werden, nicht auch möglicherweise irgendwie unsicher sind (ähnlich oder völlig anders). Ist nur eben kein Open Source, also kann man die Lücken nicht so leicht finden. Als Geheimdienst würde ich mich jedenfalls lieber auf proprietäre Lösungen stürzen als auf Open Source, weil es dann eben leichter ist, meinen Angriff unbemerkt (auch im Nachhinein) durchzuführen.
Wobei natürlich nicht gesagt ist, daß die anderen Lösungen, die von den nicht betroffenen Diensten verwendet werden, nicht auch möglicherweise irgendwie unsicher sind (ähnlich oder völlig anders). Ist nur eben kein Open Source, also kann man die Lücken nicht so leicht finden. Als Geheimdienst würde ich mich jedenfalls lieber auf proprietäre Lösungen stürzen als auf Open Source, weil es dann eben leichter ist, meinen Angriff unbemerkt (auch im Nachhinein) durchzuführen.
G
Gast18102014
Guest
Ich halte fefes Beurteilung für absolut nachvollziehbar und hinreichend begründet. Es passt auch zum üblichen Vorgehen der letzten Jahren bei verschiedenen unterwanderten sicherheitsrelevanten Produkten (wie auch einige Linux Distributionen).
OBrian, die von Dir zitierte Übersicht ist nur eingeschränkt brauchbar, da sie sich bestenfalls nur auf den SSL verschlüsselten Aufruf der Webseite bezieht. Jede Internetpräsenz besteht aus zahlreichen Modulen, die wiederum auf Installationen beruhen, die (leider Gottes) allesamt auf OpenSSL setzen. Alternativen gibt es ja nicht wirklich, denn die Bekannten waren bereits anderweitig negativ belastet (reproduzierbare Verschlüsselungsalghorythm beispielsweise).
Apache -> OpenSSL, OpenFire -> OpenSSL, Zertifikate -> OpenSSL, TeamSpeak -> OpenSSL, Spark IM -> OpenSSL, Spark Webmessenger -> OpenSSL und so weiter und so fort. Die Sicherheitslücke ist derart gravierend, dass da ein gewaltiger Rattenschwanz an betroffenen Applikationen und Internetpräsenzen dran hängt.
Letztlich hilft alles jammern nicht. Es ist schon schlimm genug, dass derart wichtige Programme so wenig kontrolliert werden. Da zeigt sich wiedermal eine bekannte Schwäche von Open Source Produkten: Der Programmcode ist zwar oftmals frei einsehbar, doch kontrolliert wird er nur von sehr wenigen Leuten. Und wirklich Übersicht über diese Programmzeilen haben nur die Wenigsten, weil man bei vielen Codeschnippseln mit Scheuklappen nur auf einen bestimmten Bereich achtet, der in dieser Konstellation harmlos zu sein scheint, aber im großen Ganzen ganz andere Nebenfunktionen ausführt oder Sicherheitsrisiken inkludiert.
Alles nicht so einfach, aber vielleicht rüttelt es einige Menschen wach Open Source nicht grundsätzlich als Allheilmittel zu betrachten, nur weil es offener Quellcode ist. Denn ohne fachkundige(!) Überprüfung und Kontrolle ist der Code genauso sicher wie Closed Source.
Ein passender Apfel- und Birnenvergleich wäre vielleicht dieser: Die Volksrepublik China veröffentlicht ihre Vertragsmuster als Open Source - in chinesischer Schrift. Interessierte auswärtige Menschen interessieren sich dafür - und weil ist ja "open source" - greifen da bedenkenlos zu, obwohl sie nicht ein Wort von dem verstanden haben, was drin steht. Sie kennen nur die "englischsprachige Begriffserklärung" dazu.
Nunja, das ist meine bescheidene Meinung. Eigene Gedanken sind meines Wissens nach in diesem Lande noch nicht verboten.
OBrian, die von Dir zitierte Übersicht ist nur eingeschränkt brauchbar, da sie sich bestenfalls nur auf den SSL verschlüsselten Aufruf der Webseite bezieht. Jede Internetpräsenz besteht aus zahlreichen Modulen, die wiederum auf Installationen beruhen, die (leider Gottes) allesamt auf OpenSSL setzen. Alternativen gibt es ja nicht wirklich, denn die Bekannten waren bereits anderweitig negativ belastet (reproduzierbare Verschlüsselungsalghorythm beispielsweise).
Apache -> OpenSSL, OpenFire -> OpenSSL, Zertifikate -> OpenSSL, TeamSpeak -> OpenSSL, Spark IM -> OpenSSL, Spark Webmessenger -> OpenSSL und so weiter und so fort. Die Sicherheitslücke ist derart gravierend, dass da ein gewaltiger Rattenschwanz an betroffenen Applikationen und Internetpräsenzen dran hängt.
Letztlich hilft alles jammern nicht. Es ist schon schlimm genug, dass derart wichtige Programme so wenig kontrolliert werden. Da zeigt sich wiedermal eine bekannte Schwäche von Open Source Produkten: Der Programmcode ist zwar oftmals frei einsehbar, doch kontrolliert wird er nur von sehr wenigen Leuten. Und wirklich Übersicht über diese Programmzeilen haben nur die Wenigsten, weil man bei vielen Codeschnippseln mit Scheuklappen nur auf einen bestimmten Bereich achtet, der in dieser Konstellation harmlos zu sein scheint, aber im großen Ganzen ganz andere Nebenfunktionen ausführt oder Sicherheitsrisiken inkludiert.
Alles nicht so einfach, aber vielleicht rüttelt es einige Menschen wach Open Source nicht grundsätzlich als Allheilmittel zu betrachten, nur weil es offener Quellcode ist. Denn ohne fachkundige(!) Überprüfung und Kontrolle ist der Code genauso sicher wie Closed Source.
Ein passender Apfel- und Birnenvergleich wäre vielleicht dieser: Die Volksrepublik China veröffentlicht ihre Vertragsmuster als Open Source - in chinesischer Schrift. Interessierte auswärtige Menschen interessieren sich dafür - und weil ist ja "open source" - greifen da bedenkenlos zu, obwohl sie nicht ein Wort von dem verstanden haben, was drin steht. Sie kennen nur die "englischsprachige Begriffserklärung" dazu.
Nunja, das ist meine bescheidene Meinung. Eigene Gedanken sind meines Wissens nach in diesem Lande noch nicht verboten.
