zur Startseite

Sicherheitslücke (SSL-Verschlüsselung) entdeckt.....

Codrus @, (vor 1320 Tagen)
bearbeitet von unbekannt,

\"Heartbleed-Sicherheitslücke\" genannt......SSL-Verschlüsselungen auf Hälfte der Systeme weltweit betroffen.....

Manchmal geht mir Pfuscherei extrem an die Nerven!......aber da werde ich wohl kaum mit alleine sein....^^

Derzeit ensteht es durch die Heartbleed-getaufte Sicherheitslücke (sehr treffend!!!....) die alles andere als harmlos zu nennen ist........im Grunde sind SSL-Verschlüsselungen derzeit auf einem Großteil der Webserver nutzlos da durch bloßem Dilettantismus eine Sicherheitslücke entstand, die sich gewaschen hat........sorry für die harten Worte...aber ich habe schon zwei Nächte lang Systeme durchleuchtet um diesen Murks aus der Welt zu schaffen....Schlaf gab es in den letzten Tagen eigentlich nicht....

Alle die Open-SSL- Verschlüsselungen einsetzten sollten auf ihren Webservern dringendst!!! ein bereit stehendes Update aufspielen.....ansonsten droht etwas, was heute selbst die am lautesten schnarchenden Schlafmützen aufwecken sollte.......
Auch einfache Anwender die Online-Dienste nutzen (unter anderem Online-Banking...) wenigstens ihre Passwörter neu zu generieren!.......

Alles weitere kann online nachgelesen werden........

Welt.de

Heise.online

Heise online.....Zertifikate....

und weitere....

Etwas verständlicher:

Aurora ⌂, (vor 1320 Tagen) @ Codrus

Es ist doch für uns IT-Laien sehr schwer zu verstehen, was da genau ablief die letzten Tage.
Mein Codrus hat sich nun nach 48 Stunden mit sehr wenig Schlaf (nur zwei Stunden seinen Worten nach) nun schon hingelegt und daher habe ich dissen Artikel nach etwas Recherchen gefunden, der es etwas verständlicher beschreibt. :-)

Spiegel Online: OpenSSL-Sicherheitslücke

Liebe Grüße
Aurora

Etwas verständlicher:

Chrissi ⌂ @, (vor 1320 Tagen) @ Aurora

» Es ist doch für uns IT-Laien sehr schwer zu verstehen, was da genau ablief
» die letzten Tage.
» Mein Codrus hat sich nun nach 48 Stunden mit sehr wenig Schlaf (nur zwei
» Stunden seinen Worten nach) nun schon hingelegt und daher habe ich dissen
» Artikel nach etwas Recherchen gefunden, der es etwas verständlicher
» beschreibt. :-)
»
» Spiegel
» Online: OpenSSL-Sicherheitslücke

»
» Liebe Grüße
» Aurora
***************************************
Hallo ihr Beiden,
danke für euren Hinweis. Muss ich da jetzt was machen oder nicht?
Mein Englisch ist lausig, so das ich auf den Seiten nix verstehe.

Gruß Chrissi

Etwas verständlicher:

Aurora ⌂, (vor 1319 Tagen) @ Chrissi

Hallo liebe Chrissi. :-)

Das Wichtigste ist Ruhe zu bewahren da wir als Anwender nur abwarten können, bis wirklich genau Informationen vorliegen.
Das wird erst nach und nach kommen da einige Dienste sehr zögerlich doch reagieren.

Auch kommt es darauf an, ob du bei den durch die Sicherheitslücke betroffenen Diensten einen Account besitzt.
Wenn ja, dann sollte dort das jeweilige Passwort vorsichtshalber schon einmal geändert werden.

Was aber auch erst sinnvoll eben ist, wenn der Betreiber des Dienstes auch die Sicherheitslücke schon geschlossen hat.
Da herrscht noch einige Unsicherheit wegen mangelnder Informationen.

Leider gibt es keine Liste, die auf Deutsch existiert.
Und auch keine, die wirklich alle! betroffenen Dienste aufführt.

Eine ist hier zu finden.

(\"vulnerable\" bedeutet übersetzt, das die Seite/der Dienst verwundbar, also betroffen ist.)


Für Spieler unter uns: Steam hat schon reagiert (war betroffen!)

SteamDB (Steam Database) gab bekannt, das die Sicherheitslücke dort schon geschlossen wurde.
Zugleich wurde aus Sicherheitsgründen geraten, das Passwort zu ändern und Steam Guard \"zurückzusetzen\".

Bei dem \"zurücksetzten\" bin ich mir selber zur Zeit unsicher wie das gemeint ist.
Das scheint eine fehlerhafte Aussage zu sein da wir ans Steam Guard nichts von uns aus \"zurücksetzten\" können.
Steam Guard überprüft unter anderem (bei einem Wechsel des Passwortes) die EMail-Adresse, was wir dann nur bestätigen müssen.

Die Mitteilung dazu ist auf PCGames, zu finden.

Liebe Grüße
Aurora

Etwas verständlicher:

Aurora ⌂, (vor 1319 Tagen) @ Aurora
bearbeitet von unbekannt,

Hier sind die wichtigsten Dienste aufgeführt (die betroffen waren) und wo ein Passwortwechsel erfolgen sollte:

Spiegel-Online


Nachtrag:

Auch Dienste der Telekom (EMail, usw.) waren betroffen:

Telekom hat sofort reagiert

Auch der E-Mail-Dienst der Deutschen Telekom und der Business Market Place waren von dem Fehler in der Verschlüsselungssoftware OpenSL betroffen.
Unmittelbar nach Bekanntwerden hat die Telekom die potentielle Lücke geschlossen.
Um den Kunden größtmögliche Sicherheit zu geben, tauscht die Telekom die serverseitigen SSL-Zertifikate aus und sperrt sie für den weiteren Gebrauch. Darüber hinaus werden weitere Dienste auf mögliche Verwundbarkeit geprüft.

Quelle.

Zwar wird darin nicht darauf hingewiesen die Passwörter zu ändern, aber auch da ist es wohl angeraten ein neues (Zb. für den Kundencenter-Zugang) zu erschaffen.

Etwas verständlicher:

Edith @, (vor 1319 Tagen) @ Aurora

Danke für eure ausführliche Infos.
Nun habe ich einige Zeit verbracht, Passwörter zu ändern.
Und leider müssen die von den Mailservern auch noch in den
Mailprogrammen geändert werden. Ganz schön viel Arbeit für
so einen Programmierfehler.
Also wenn ich das richtig verstehe, muss man auch bei T-Online
alles ändern? Bei denen habe ich erst vor kurzem alles umgestellt. Seufz.
Tschüssi
Edith

Etwas verständlicher:

Codrus @, (vor 1318 Tagen) @ Edith

Hallo Edith.....

...da bist du nicht alleine was die T-Online-Passwörter angehen.....^^

Zumindest das Email-Passwort (wenn die beispielsweise ein externes Email-Programm wie Thunderbird eingesetzt..) sollte geändert werden.....


Schwieriger wird es bei dem Master-Passwort....also das Passwort, womit du dich im Kundencenter einloggen kannst und welches für die Verbindung nötig ist....es muss also auch im Router entsprechend geändert werden.....was aber schwierig werden könnte, da oftmals erst kein Zugriff zum Internet möglich ist..(neues Passwort wird nicht erkannt...etc)..
..das sollte besser zeitgleich mit der Hotline von der Telekom abgesprochen werden da so gleich Hilfe gewährleistet werden kann.....

Ein Grund, warum die T-Kom nicht öffentlich um ein Auswechseln der Passwörter bislang angeraten hat.....^^

Panikreaktionen sind aber bislang noch unbegründet.....nicht wenige Anbieter haben noch immer nicht neben dem Patch für die Sicherheitslücke auch zusätzlich alle Zertifikate ausgetauscht....was der Sicherheit noch dienlicher in diesem Fall ist....
Das kommt erst nach und nach.....(das Austauschen kann sich über lange Stunden an Arbeit hinziehen......weiß ich aus eigener Erfahrung...^^)


Im Übrigen gibt es noch für Google-Chrome- Anwender etwas, was mit eingestellt werden sollte im Browser....die Zertifikate betreffend.....(dummerweise von Werk aus nicht aktiviert....) :

Auf Einstellungen klicken.....\"erweiterte Einstellungen anzeigen\" und dann unter \"HTTPS/SSL ein Haken setzten bei Serverzertifikate auf Sperrung prüfen\"...

Was das bewirkt siehe unter anderem hier.....

MfG
Codrus

Etwas verständlicher:

Edith @, (vor 1317 Tagen) @ Codrus

Danke für deine Info.
An das Masterpasswort traue ich mich noch nicht.
Ich habe bis jetzt fast alles umgeändert.
Ich denke mal, so rein gefühlsmäßig dürfte ich das wichtigste überarbeitet
haben. Ist aber trotzdem ein ganz großer Mist, dass immer wieder Sachen
auftauchen, die das Tor himmelweit aufmachen, wenn man den Trick kennt.
Ich werde immer misstrauischer dem Internet gegenüber.
Viele liebe Grüße
Edith

Etwas verständlicher:

Edith @, (vor 1317 Tagen) @ Edith

Das stand in PC-Welt online:

http://www.pcwelt.de/news/Heartbleed-Bug_nicht_so_gefaehrlich_wie_gedacht_-Untersuchung...

Heartbleed-Bug nicht so gefährlich wie gedacht?

Wie gefährlich ist der Heartbleed-Bug wirklich? ©heartbleed.com
Ausgiebige Tests von CloudFlare deuten darauf hin, dass die Heartbleed-Sicherheitslücke nicht so gefährlich wie anfangs angenommen ist.
Der am Montag bekannt gewordene Heartbleed-Bug kompromittiert SSL-Verbindungen. Diese Verschlüsselung kommt bei zahlreichen Internetseiten zum Einsatz und verhindert beispielsweise das Ausspähen von Online-Banking oder -Kommunikation.

Das Content Distribution Network CloudFlare geht dennoch davon aus, dass der Zugriff auf die hierfür genutzten privaten Schlüssel durch Heartbleed nicht ermöglicht wurde. In Tests gelang es dem Unternehmen nicht, in den Besitz der privaten Schlüssel zu kommen. Zwar sei der Zugriff nach Ansicht von Forscher Nick Sullivan theoretisch möglich, er wäre jedoch sehr schwer.

Darüber hinaus gäbe es Hinweise, dass ein Zugriff auf die SSL-Schlüssel überhaupt nicht realisierbar sei. Sollte sich diese Einschätzung bestätigen, so wäre Heartbleed nicht so gefährlich wie anfangs angenommen. In Testläufen wurden zwar von einigen Apache-Servern bei der ersten Anfrage private Schlüssel verschickt, dies könnte jedoch auch mit dem zum Aufspielen der neuen Version nötigen Neustart der jeweiligen Server in Verbindung stehen.
Heartbleed OpenSSL-Lücke - so schützen Sie sich wirksam!

Firmenchef Matthew Prince sieht Heartbleed dennoch als extrem gefährlich an. Es sei jedoch unwahrscheinlich, dass Organisationen wie die NSA massenhaft Daten über die Schwachstelle gesammelt hätten.

Wer weiß, was da noch alles nachkommt.

Ciao
Edith

Vielen Dank.

Aurora ⌂, (vor 1317 Tagen) @ Edith

Hallo liebe Edith,

vielen Dank für den Link und die Meldung. :-)

Mein Codrus meinte auch, das letztendlich für eine volle Ausnutzung dieser Schwachstelle ein Apparat notwendig ist, wie die größeren Geheimdienste jeweils aufweisen.
Ohne ein Team von Spezialisten ist es schon sehr unwahrscheinlich, das es zu massenhaften Abgreifen von wichtigen Daten und drauf folgend Angriffen kommen wird.

Selbst die Meldung, das ein Botnetzwerk schon in der Vergangenheit (die Lücke war schließlich zwei Jahre offen) Server gezielt über diese Schwachstelle attackiert hat, ist mit Vorsicht zu genießen.

Aber wie alles ist es auch eben nicht \"unmöglich\".

Die Gefahr da und nun wissen wir, dass das Internet alles andere als eine \"sichere Umgebung\" ist und wir niemals es als selbstverständlich betrachten dürfen.
Misstrauen ist notwendig um ständig wachsam zu sein und wenigstens immer die Schutzsoftware (Firewall, Antivierensoftware) wie auch das Betriebssystem aktuell zu halten.

Mein Mann bezeichnet das Internet sogar als \"Kriegsgebiet\" worin wir einzelnen Anwender schnell zwischen die Fronten kommen können.
In einigen Fällen durchaus leider ein treffender Vergleich.

Liebe Grüße
Aurora

RSS-Feed dieser Diskussion
powered by my little forum