Heute noch ein kurzer Artikel zum Heartbleet-Desaster, welcher die ganze Dimension des Ganzen aufzeigt. Wer das Anonymisierungsnetzwerk Tor nutzt, geht erst einmal davon aus, dass er bis zum Exit-Node geschützt ist. Muss aber nicht sein.
Anzeige
Die Redaktion von heise.de berichtet hier über weitere Kollateralschäden durch die Heartbleet-Lücke. Man kann, unter Ausnutzung der Heartbleet-Lücke die von SMS-Gateways verschickten Nachrichten auslesen und bekommt im ungünstigsten Fall sogar die Tokens zur Zwei-Faktor-Authentifizierung heraus. Das wurde offenbar von Hackern bereits ausgenutzt, die Nachrichten von 6 SMS-Gateways abgriffen. Darunter sensible Daten zu Polizei- und Rettungsdiensteinsätzen, Service-Anfragen von Routern etc. Bitter: Auch die Tokens zur Zwei-Faktor-Authentifizierung sind auslesbar.
Noch bitterer: Auch eine Reihe Tor-Exit-Server (heise spricht von 20%) nutzen offenbar OpenSSL in der komprimittierbaren Version (Quelle: mulliner.org). Diese Exit-Nodes geben über ihren Speicherinhalt Daten der Nutzer preis. Zwischenzeitlich sind die betreffenden Tor-Exit-Server aber auf einer Black-List gelandet, so dass diese nicht mehr genutzt werden.
Der Vorfall zeigt aber, dass Heartbleet quasi das Tschernobyl der IT-Infrastruktur war – wir werden noch lange unter diesem Vorfall leiden – und mein Vertrauen in diese Technik ist eigentlich bei 0 angekommen. Oder wie seht ihr das? Ändert ihr euer Kommunikationsverhalten? Interessiert das Thema Heartbleet-Lücke nicht, weil ihr nicht betroffen seid?
Ähnliche Artikel:
a1: HeartBleed: Sicherheit überprüfen, Kennwörter ändern
a2: Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke
a3: Adobe- und WordPress-Sicherheits-Updates, Win XP absichern, OpenSSL-Lücke
Anzeige
Anzeige
Moin
Heartbleet quasi Tschernobyl? Halt ich nun für etwas weit her geholt, denn der echte Gau ließ sich bis heute nicht fixen, auch wenn wir ihn nicht mehr wahrnehmen… Heartbleet wird uns sicher weder 28 noch hunderte Jahre erhalten bleiben.
Ist im Falle OpenSSL ja auch nicht das erste Mal und wird sich auch nie verhindern lassen. Vor allem nicht bei einer quelloffenen Gratislösung, eingesetzt an einer so empfindlichen Stelle und Achillesferse von Firmen die an dieser Stelle sparen (müssen?). Es wird auch immer eine Achillesferse bleiben, das Thema Verschlüsselung an dieser Stelle, quelloffen hin oder her…
Interessieren tut es mich nur am Rande, denn ich habe eh keinen Einfluss darauf. Ich kann mich nur entscheiden meinen Rechner ans Netz anzuschließen, oder halt nicht. Was hinter Router und Modem passiert ließ sich noch nie vom Nutzer kontrollieren und wird es auch in Zukunft nicht.
Wenn Dein Vertrauen in die Technik nun also bei 0 angekommen ist, bist Du in der Realität angekommen, lieber Günter… das war auch vor dem NSA Skandal schon so, nur wußte und glaubte es da noch keiner wirklich. Außer MS und Google war zu der Zeit niemand wirklich böse im Netz ;)
Mal schauen was morgen so passiert…
Frohes Eierfest…