Statement zur "HeartBleed" Lücke

  • Hallo zusammen


    Spätestens seit gestern ist untenstehendes Thema in praktisch allen Medien präsent und wird hoch und runter gespielt. Wer es noch nicht mitbekommen hat, findet unten eine kurze Erklärung


    Am Montag ist eine schwerwiegende Lücke im OpenSSL-Paket bekannt geworden. Dieses wird benötigt, um im Internet verschlüsselte Verbindungen aufzubauen. Die Entdecker tauften die Schwachstelle «Heartbleed» («Herzbluten»). Durch den Fehler ist es einem Angreifer möglich, eigentlich verschlüsselte Daten wie Kreditkartennummern, Passwörter oder ähnliches von einem Server auszulesen – ohne dabei irgendwelche Spuren zu hinterlassen.


    Das asperger-forum Forum verwendet ebenfalls eine verschlüsselte Verbindung welche auf allen Seiten zum Einsatz kommt. Anders als diverse Webhoster setzen wir serverseitig auf ein Windows Server Betriebssystem. Als Webserver kommt dabei der native IIS (Internet Information Services) zum Einsatz. Die Microsoft Betriebssystem setzten zum entschlüsseln von Verbindungen eine Komponente namens Secure Channel (SChannel) ein, welche nicht anfällig auf die obenstehende Lücke ist.


    Somit surft ihr bei uns, wie bisher, vollkommen sicher und verschlüsselt :)

  • Für mich ist das nur ein Medienhype. Da hat man wahrscheinlich zufällig eine kleine Sicherheitslücke entdeckt, die so und so nur von sehr spitzfindigen Programmierern und Informatikern entdeckt werden könnte, und spielte es künstlich in den Medien so hoch, weil es 1. Verschlüsselungstechnik und 2. eine bedeutende Anzahl von Systemen weltweit betrifft.
    Wäre diese Lücke tatsächlich so gefährlich, hätte man sie auch entscheidend früher entdeckt, denn es sind nur Lücken äußerst gefährlich, die auch eine große Anzahl von "Hackern" entdecken können. Ein einzelner Mensch kann eben die unglaubliche Menge an Daten, auf die er dann Zugriff hätte, gar nicht verwerten.


    Bedenkt man frühere hochgespielte "Gefahrenmedlungen", wie z.B. den „I-love-you-Virus“, dann passt für mich diese aktuelle Sache auch ganz gut in diese Schema.


    Fazit: Durch diese Lücke gelangten vielleicht wenige vertrauliche Daten in die Hände weniger Menschen, aber der dadurch entstandene Schaden ist in Relation zu der Masse an vertraulichen Daten unbedeutend. Solange niemand die geheimen Daten von Großkonzernen geklaut hat, passiert da auch nicht mehr viel nach der Schließung der Lücke. Sicherheitshalber sollten alte Passwörter zu solchen System jedoch geändert werden. ^^

  • Die Erklärungen und Aussagen auf Heise.de dazu zeigen zwar, dass diese Lücke die Möglichkeit eröffnet auf verschlüsselte, sehr vertrauliche Daten zugreifen zu können, aber das ändert nichts an dem Fakt, dass eine Person erst darauf kommen muss, diese Lücke 1. zu entdecken und 2. gezielt nutzen zu können.


    Da aber am Krypto-Framework OpenSSL auch gut ausgebildete Programmierer arbeiten, ist es unwahrscheindlich, dass andere Progammierer diese Lücke ausreichend früh entdeckten, um diese für böse Zwecke ausnutzen zu können. Denn letztendlich wurde diese Lücke ja von den Programmierern des Krypto-Framework OpenSSL offenbar nicht all zu schnell entdeckt, was soviel bedeutet, dass diese Lücke nicht so leicht zu entdecken war.


    Wenn man weitere Meldungen in den Medien verfolgt, sollte auch auffallen, dass kein einziges Unternehmen berichtet, dass vertrauliche Informationen durch diese Lücke tatsächlich gestohlen wurden. Es wird generelll nur geraten, Passwörter zu ändern, da ein Passwortklau nicht ausgeschlossen, aber genauso wenig bestätigt werden kann.


    Nach aktuellen Informationen entstand durch diese Lücke also keinerlei Schaden irgendwo auf der Welt. Da alle vernünftigen Systembetreiber nach der Schließung der Lücke so und so nun alle Passwörter für Zugriffe auf jene verschlüsselten Daten ändern werden, wird es sehr sicher auch keine nachfolgenden Schäden durch "Hacker" geben.


    Es gibt derzeit also keine Informationen, dass diese Lücke in irgendeiner weise in der Realität (größeren) Schaden verursacht hätte.
    Aus diesem Grund ist für mich das eben auch nur ein reiner Medienhype, da eben diese Lücke so hoch gefährlich präsentiert wurde, OHNE dabei irgendein praktisches Beispiel zu geben, dass es in der Realität auch schon einen großen Schaden verursacht hätte.


    Da diese Lücke nun eben entdeckt und geschlossen wurde, ehe dadurch ein großer Schaden entstehen konnte, stufe ich dies als harmlos ein. Als Vergleich dazu weißt das OS Windows stetig große neue Sicherheitlücken auf, die aber i.d.R. schnell genug behoben werden, ehe diverse Hacker diese großflächig ausnutzen konnten.


    Ich wette, dass in 2-4 Wochen dieses Thema ad adcta ist, weil es eben keinen mehr interessiert, da eben kein signifikanter Schaden dadurch entstanden ist. Das war nur eine ein bisschen besonderere Sicherheitslücke und ein darauf aufbauender Medienhype, mehr nicht.

  • Ich finde deine Argumentation leichtfertig. Eines der Probleme ist , dass der Angriff keine Spuren hinterlässt und niemand sagen kann ob und welche Daten in den abgegriffenen Fragmenten enthalten waren und ob ein Angriff stattfand.
    Leichtfertig finde ich allerdings auch, dass die Grössenprüfung nicht von allem Anfang an in der Heartbeat-Funktion enthalten war. Dass Entwickler immer wieder die Realitäten vernachlässigen, ist für mich in der Qualitätssicherung leider alltäglich und immer und immer wieder muss ich bessere Fehlertoleranz einforden.
    Ob die Lücke ausgenutzt wurde, werden wir vielleicht erst dann erfahren, wenn jemand mit dem Ergebnis Unfug treibt.


    Ja, die Medien breiten das Thema mehr aus als es technisch nötig wäre. Aber was solls, denn lieber einmal zuviel als einmal zuwenig berichten.

  • Zitat

    Ob die Lücke ausgenutzt wurde, werden wir vielleicht erst dann erfahren, wenn jemand mit dem Ergebnis Unfug treibt.


    Mindestens 2/3 aller Menschen schlagen sofort zu, wenn sie etwas attraktives/vorteilhaftes für sich selbst auf leichtem Wege bekommen können oder glauben es bekommen zu können. Da die Lücke ja nun schon seit einigen Tagen geschlossen ist, und sich bis jetzt niemand über einen durch diese Lücke verursachten Schaden beklagt hat, liege ich in meiner ersten Annahme auch richtig, dass diese Lücke eben sehr wahrscheinlich keinen Schaden bis jetzt verursacht haben wird und auch in Zukunft nicht haben wird.


    Solche Lücken sind natürlich immer zu vermeiden und es ist fahrlässig, wenn man mögliche Lücken welcher Art auch immer durch niedrige Fehlertoleranzen potentiell in Kauf nimmt, aber in diesem Fall wurde diese eine Lücke definitiv von den Medien sehr stark hochgepuscht. Würde man die ganzen entdeckten Sicherheitslücken in Windows medial so hochpuschen, gäbe es wohl jede Woche solch einen "Skandal".. zumindest in der Bildzeitung.

  • Da ich davon ausgehe, dass gewisse Dienststellen sowieso Zugriff zu allen Daten haben (bei Standard-Betriebssystemen), stellte ich mir in dem Zusammenhang auch schon eine vielleicht kurios wirkende hypothetische Frage: Ist es evtl. umgekehrt? ;( Irgendwo gibt es einfach ein Punkt an dem sie noch nicht durchkommen? Dann wäre es am einfachsten neue Updates zu forcieren, damit wieder uneingeschränkte Einsicht möglich ist.
    Wenn es so wäre, dann wäre es ja mindestens kein Hype... :wacko:

    Bedenke: die Welt ist nicht digital; und doch gibt es richtig und falsch. (© @ me)

  • Oh ja, das ewige Thema Daten-Sicherheit.... Spätestens seit die NSA bekannt ist, auch in aller Munde, dürfte wirklich allen klar sein, dass es sowas wie Daten-Sicherheit mehr gibt, sollte man meinen....


    Leider wurde jetzt bei HardBleed nur endlich das Pauschal bekannt, was die ETH vor, so meinte ich, ca 7 Jahren zum Thema SSH und Bankverschlüsselungen angemerkt hatte. Die Studenten bekamen die Aufgabe SSH zu hacken. Der erste hatte es nach 7-8 Minuten geschaft....


    Reaktion war gleich null darauf, meines wissens.


    Das andere Problem ist, das ich grad mit der Firma zusammen mit Microsoft auf Ihrer Cloud ne Software mitentwickle, das im Hinblick auf solche "Dienste" wie die NSA der Weg gleich mal abgekürzt wird, sprich, die gehen gleich zum Hersteller der Software und zwingen diese, jedenfalls in Amerika und deren engsten Vertrauten (Ländern) ein Back Door einzubauen. Das selbe bei Hardware, was iOS 7 schön zeigt, welches mittels Externer Steuerung dessen Nutzung eingeschränkt werden kann.


    Und wenn man so will, jedem seine Kiste, ausser er ist High Security Netzwerk Spezialist, wurde sicher schon von aussen angesehen und durchsucht.

    "Wir leben in der Zukunft von gestern, in der Vergangenheit von morgen und in der Unendlichkeit vom Jetzt" (Chris B.)

  • Spätestens seit die NSA bekannt ist, auch in aller Munde, dürfte wirklich allen klar sein, dass es sowas wie Daten-Sicherheit mehr gibt, sollte man meinen....

    Eine perfekte Daten-Sicherheit gibt es sehr wohl noch. Die Mehrzahl der Menschen ist nur so naiv, dass sie sogar nun persönliche Daten und Informationen freiwillig irgendwo im WWW abspeichern, worauf jeder authorisierte Mensch eines solchen Unternehmens Zugriff hat. Wer größt mögliche Sicherheit für persönliche Daten haben will, sollte eben z.B. nicht mit fiktiven Geldbeträgen zahlen, sondern bevorzugt in Bar, eben sollten sensible Daten auf verschlüsselten Datenträgern liegen, die in keinster Hinsicht ans WWW über den PC bzw. Heim-Server angeschlossen sind.


    Die größte Gefahr liegt eben darin, dass alle Daten immer mit dem Internet verbunden sind, auch wenn darauf niemand anderes als man Selbst Zugriff darauf haben soll. Würden diverse Server erst dann mit dem Internet verbunden werden, wenn ein Berechtigter auch tatsächlich Zugriff darauf nehmen will, könnte man solche Server eben auch deutlich schwieriger hacken. Denn ein Server, der nicht im Netz ist, kann auch nicht übers Netz angegriffen werden. Das selbe gilt für private Daten. Es ist keine technische Herausforderung, private Photos z.B. auf eine externe Festplatte zu speichern und nur über einen PC zu öffnen, bei welchem das Lan-Kabel aus der Netzwerkkarte des PC gezogen wurde. Darauf hat dann zu 99,9% Sicherheit keiner über das Internet ungewünschten Zugriff.


    Leider wird die akutelle Generation dazu "gezüchtet", 24/d online sein zu müssen und dort alles über sich preiszugeben. Facebook und diese wie Unkraut wachsenden Clouds sind ein Paradebeispiel dafür. Wer glaubt, seine Kopie seines beispielsweise Schulzeugnisses sei da sicher und würde nicht missbraucht werden, ist mehr als nur naiv. Solch eine Cloud eignet sich höchstens nur für sowieso öffentliche Daten, aber private Daten haben auf Clouds eben nichts zu suchen. ^^

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!