# Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web



## PCGH-Redaktion (9. April 2014)

Jetzt ist Ihre Meinung gefragt zu *Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

					Der Heartbleed Bug bedroht das ganze Internet, weil er in OpenSSL gefunden wurde und das wiederum sehr weit verbreitet ist. Obendrein ist die Sicherheitslücke als sehr kritisch einzustufen, was die Situation verschärft. Das Leck wurde heute gestopft, doch die Gefahr ist damit noch nicht gebannt. 

					[size=-2]Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und NICHT im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt. Sollten Sie Fehler in einer News finden, schicken Sie diese bitte an online@pcgameshardware.de mit einem aussagekräftigen Betreff.[/size]





			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Zurück zum Artikel: *Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.

Viel Spass mit eurer End-to-End Verschlüsselung 

Ich hab heute auch beim 100ten Zertifikat welches ich revoken und austauschen musste aufgehört zu zählen. Dazu kommen noch etliche von gestern, man kann das hier getrost als Super GAU für die Verschlüsselung in der modernen Kommunikation ansehen.


----------



## IiIHectorIiI (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
> Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.
> 
> Viel Spass mit eurer End-to-End Verschlüsselung
> ...


 
Scheint aber sonst niemanden weiter zu interessieren.


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



IiIHectorIiI schrieb:


> Scheint aber sonst niemanden weiter zu interessieren.


 
Sollte aber, den Leuten ist nur die Tragweite nicht bewusst, oder sie interessieren sich einfach nicht dafür, was sehr sehr schade ist, denn es geht um ihre Sicherheit und gerade in einem PC Forum sollte mehr Interesse da sein. Vor allem, weil nicht nur Server sondern auch viele Clients betroffen sind.


----------



## Crush182 (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Also iwie habe ich auch gerade das Gefühl, dass dieses Problem in der Versenkung verschwindet 

Ich bin gerade nur durch Zufall drüber gestolpert.
Liegt das daran, dass es eig. doch nicht so schlimm ist wie es dargestellt wird oder wird`s einfach nicht beachtet?

Also für mich klingt das ja so als ob die openSSL verschlüsselung quasi unbrauchbar ist und man am besten alle PW`s von Seiten, welche diese
nutzen, ändern sollte?! -Oder liege ich da falsch? 

(Welche Seiten sind das denn überhaupt alles?)


----------



## Olstyle (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Crush182 schrieb:


> Also für mich klingt das ja so als ob die openSSL verschlüsselung quasi unbrauchbar ist und man am besten alle PW`s von Seiten, welche diese
> nutzen, ändern sollte?! -Oder liege ich da falsch?


Es gibt keine "openSSL Verschlüsselung". Was es gibt ist SSL und eine der Bibliotheken dafür namens openSSL.
Die Bibliothek ist in bestimmten Versionen Fehlerhaft, SSL an sich nicht. 


> (Welche Seiten sind das denn überhaupt alles?)


 Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.


----------



## Crush182 (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Olstyle schrieb:


> Es gibt keine "openSSL Verschlüsselung". Was es gibt ist SSL und eine der Bibliotheken dafür namens openSSL.
> Die Bibliothek ist in bestimmten Versionen Fehlerhaft, SSL an sich nicht.
> 
> Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.


 
Ahh... ok -wieder was gelernt 

...Also kann man im Prinzip erstmal nur abwarten und hoffen das nix mit seinen PW`s passiert ist^^ -.-


----------



## Olstyle (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

So komisch es erstmal klingt: Wenn man weiß, dass ein Server betroffen ist sollte man erst was an den Daten dort tun wenn das Update aufgespielt wurde. Vorher können sie schließlich jederzeit wieder gelesen werden.


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Olstyle schrieb:


> Das ist genau das Problem: Aktuell gibt es kaum Infos darüber welche Server und Clients genau betroffen sind.


 
Da aber openssl die am weitesten verbreitete SSL Bibliothek ist und auf gut 80-90% aller Unix Server und Clients Verwendung findet und davon evtl. mind. 50% die Versionen 1.0.x nutzen, gehe ich davon aus, dass es eine hohe Zahl an betroffenen Systemen gibt.

Für alle die sicher gehen wollen, ob die von ihm besuchten Seiten noch betroffen sind oder es vielleicht nie waren, hier kann man die Seiten testen.


----------



## keinnick (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



IiIHectorIiI schrieb:


> Scheint aber sonst niemanden weiter zu interessieren.


 
Das ist der Knackpunkt. Aber wenn es blöd kommt wird es noch mehr Leute "interessieren" (müssen) als man jetzt vielleicht glaubt. Die Tragweite ist immens und die Folgen sind deutlich schlimmer als "Facebook kauft Whatsapp!!!!111elf". Der Otto-Normal-User weiß das nur nicht...


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Ich sag ja, es sollte viel mehr Leute interessieren, Klick & Klick

Ergo ist jegliche Verschlüsselung mit den Mindfactory Servern fürn Ars*h.


----------



## RiodoroSaft (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.


 
Wenn überhaupt auch nur ein Update erscheint. Das schlimme ist ja dass dieses Klientel auch noch meint sie hätten den super Durchblick und schimpfen über die Hersteller, denen Sicherheit noch was wert ist, wie z.B. Apple.


----------



## Brehministrator (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.





RiodoroSaft schrieb:


> Wenn überhaupt auch nur ein Update erscheint.  Das schlimme ist ja dass dieses Klientel auch noch meint sie hätten den  super Durchblick und schimpfen über die Hersteller, denen Sicherheit  noch was wert ist, wie z.B. Apple.


 Ihr wisst aber schon, dass der HeartBleed-Bug nur die Server-Seite der SSL-Verschlüsselung betrifft? ^^ Auf einem Smartphone oder Heim-PC, der aus der Natur der Sache immer nur ein Client sein wird, muss nichts aktualisiert werden. Ist euch nicht aufgefallen, dass es *keine *panischen Updates aller Client-Internet-Programme (Firefox, etc.) gab?

Lediglich die Server-Betreiber (Threema, etc.) müssen den Patch für OpenSSL aufspielen, und ihre Private Keys erneuern. Auf dem Client muss man höchstens die alten Zertifikate (die sich auf die möglicherweise kompromittierten Private Keys beziehen) deaktivieren.


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Brehministrator schrieb:


> Ihr wisst aber schon, dass der HeartBleed-Bug nur die Server-Seite der SSL-Verschlüsselung betrifft? ^^ Auf einem Smartphone oder Heim-PC, der aus der Natur der Sache immer nur ein Client sein wird, muss nichts aktualisiert werden. Ist euch nicht aufgefallen, dass es *keine *panischen Updates aller Client-Internet-Programme (Firefox, etc.) gab?
> 
> Lediglich die Server-Betreiber (Threema, etc.) müssen den Patch für OpenSSL aufspielen, und ihre Private Keys erneuern. Auf dem Client muss man höchstens die alten Zertifikate (die sich auf die möglicherweise kompromittierten Private Keys beziehen) deaktivieren.


 
Das ist leider völlig falsch, dein Client muss die lib genauso updaten wie der Server. Der HeartBleed Bug betrifft alle Geräte, die OpenSSL mit der Erweiterung TLS 1.2 nutzen, welches die Heartbeat Funktion unterstützt. Ansonsten könnte ein angreifender Server/Client von deinem Client ebenfalls einen Heartbeat fordern und den Speicher deines Clients über den Bug auslesen.

Ich darf an dieser Stelle mal Heise zitieren



> _Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen._




OpenSSL ist eine Bibliothek und von daher ist auch ein Client betroffen der diese nutzt.
Der einzige Grund, warum dein Firefox oder Chrome kein Update möchte, ist, dass du ein Windows System einsetzt und deine Programme dort die Windows SSL-Bibliotheken nutzen und nicht OpenSSL.
Auf Android Geräten wäre, sofern OpenSSL 1.0.x eingesetzt wurde, eigentlich ein Update nötig, aber wie schon erwähnt werden wohl die wenigsten in diesen Genuss kommen, so dass ihre Geräte potenziell angreifbar bleiben.


----------



## turbosnake (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



> Bei einem Client muss ein Angreifer entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden.





> Firefox und Chrome nutzen für SSL-Verbindungen NSS, der Internet Explorer setzt auf das von Windows mitgelieferte SChannel. Gleiches gilt für die viel verwendeten Mailprogramme Thunderbird und Outlook Express.


OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de
Deutlich weniger gefährlich als das von Seite der Server.


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



turbosnake schrieb:


> OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de
> Deutlich weniger gefährlich als das von Seite der Server.


 
Aber garantiere, jetzt wo schon hunderte oder tausende private Keys ausgelesen sein *könnten*, dass du dich wirklich auf die Seite verbindest oder dir jemand anhand des Zertifikates der Webseite und dem erbeuteten private Key nur die vermutete Seite vorgibt. Deshalb ist es ja auch so wichtig, das alte Zertifikat zu revoken und ein neues mit neuem Key zu erstellen.


----------



## Brehministrator (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Das ist leider völlig falsch, dein Client muss die lib genauso updaten wie der Server. Der HeartBleed Bug betrifft alle Geräte, die OpenSSL mit der Erweiterung TLS 1.2 nutzen, welches die Heartbeat Funktion unterstützt. Ansonsten könnte ein angreifender Server/Client von deinem Client ebenfalls einen Heartbeat fordern und den Speicher deines Clients über den Bug auslesen.


 Du hast natürlich im Grunde Recht, aber in der Praxis halt doch nicht, wie schon von TurboSnake angemerkt. Da ein Client nicht die ganze Zeit auf eingehende Verbindungen wartet (denn sonst wäre es ja ein Server ^^), kann nicht einfach jemand von außen ankommen, und sagen "Ich kompromittiere jetzt mal diesen Client". Die einzige Möglichkeit, wie ein Client Opfer des Angriffes werden könnte, ist dass er sich *von sich aus* mit einem bösartigen Server verbindet, welcher dann eine bösartige Heartbeat-Aufforderung schickt. Dazu reicht es natürlich nicht, dass der Server vorher selber mit der HeartBeat-Attacke kompromittiert wurde. Denn es muss ja aktiv Schadcode auf dem Server laufen, der dem Client diese Aufforderung schickt.

Also: Wenn man Opfer einer Phishing/Man-in-the-Middle-Attacke wird, kann der bösartige Server den Bug beim Client ausnutzen. Wenn man aber als "schlauer Client" dafür sorgt, dass man sich nicht mit bösartigen Servern verbindet (wie auch immer man das anstellen will...), solange ist man sicher. Ein Angriff auf einen Client setzt voraus, dass der Client zu erst selbst einen Fehler macht.

*Edit:* Und gerade bei der Smartphone/Threema-Sache, durch die unser Gespräch startete: Wie soll denn dort eine Phishing-Attacke ablaufen? Der Threema-Client auf dem Smartphone verbindet sich mittels Hostname mit dem Threema-Server. Damit da was schief geht, müsste entweder der DNS-Server gehackt sein, oder der Threema-Server selbst gehackt sein (dann wäre die Sicherheit sowieso dahin). Beides eher unwahrscheinlich.


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Brehministrator schrieb:


> Du hast natürlich im Grunde Recht, aber in der Praxis halt doch nicht, wie schon von TurboSnake angemerkt. Da ein Client nicht die ganze Zeit auf eingehende Verbindungen wartet (denn sonst wäre es ja ein Server ^^), kann nicht einfach jemand von außen ankommen, und sagen "Ich kompromittiere jetzt mal diesen Client". Die einzige Möglichkeit, wie ein Client Opfer des Angriffes werden könnte, ist dass er sich *von sich aus* mit einem bösartigen Server verbindet, welcher dann eine bösartige Heartbeat-Aufforderung schickt. Dazu reicht es natürlich nicht, dass der Server vorher selber mit der HeartBeat-Attacke kompromittiert wurde. Denn es muss ja aktiv Schadcode auf dem Server laufen, der dem Client diese Aufforderung schickt.
> 
> Also: Wenn man Opfer einer Phishing/Man-in-the-Middle-Attacke wird, kann der bösartige Server den Bug beim Client ausnutzen. Wenn man aber als "schlauer Client" dafür sorgt, dass man sich nicht mit bösartigen Servern verbindet (wie auch immer man das anstellen will...), solange ist man sicher. Ein Angriff auf einen Client setzt voraus, dass der Client zu erst selbst einen Fehler macht.



Was du hier beschreibst ähnelt Security by Obscurity, nach dem Motto mir wird schon nichts passieren. Und beschränke das nicht nur auf das aktive Ansurfen von Webseiten. Denk an all die Apps, die im Hintergrund selbstständig eine SSL Verbindung aufbauen zum Syncen oder deren Server in der Lage sind zu "pushen" und eine Verbindung vom Server zum Client und nicht vom Client zu Server auf zu bauen. Da es sich bei OpenSSL nicht um klassische Cleint/Server-Software handelt, sondern um eine Bibliothek, die von allen möglichen Programmen und Apps genutzt wird musst du von dem "solange ich nichts aktiv ansurfe passiert mir nichts" Gedanken weg kommen.



Brehministrator schrieb:


> *Edit:* Und gerade bei der Smartphone/Threema-Sache, durch die unser Gespräch startete: Wie soll denn dort eine Phishing-Attacke ablaufen? Der Threema-Client auf dem Smartphone verbindet sich mittels Hostname mit dem Threema-Server. Damit da was schief geht, müsste entweder der DNS-Server gehackt sein, oder der Threema-Server selbst gehackt sein (dann wäre die Sicherheit sowieso dahin). Beides eher unwahrscheinlich.


 
Die jüngste Vergangenheit sollte eigl. gezeigt haben, dass DNS Spoofing eine der leichtesten Übungen darstellt. Wenn dir auf deinem Android Smartphone jemand die hosts Datei manipuliert bist du froh, wenn wenigstens sein OpenSSL auf dem aktuellsten Stand wäre.
Außerdem wie weiter oben schon geschrieben, kann niemand sagen ob es nicht schon gekaperte Zertifikate gibt und sich dann ein potentieller Angreifer als jemand ausgeben kann, der er gar nicht ist, da er durch fehlendes revoken der Zertifikate von Heartbleed betroffenen Servern munter über die Identität der eigl. Website verfügen kann.

Daher finde ich es auch traurig, dass ein Unternehmen wie Mindfactory es nicht innerhalb von 48h nach Veröffentlichung des Patches schaffen den Webserver zu patchen und ein neues Zertifikat einzuspielen.


----------



## turbosnake (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Man kann auch über AV Programme einbrechen oder sie zumindest recht leicht abschießen.




__ Youtube
				- Eingebundener Inhalt
			


__
youtube.com/watch/?v=1eLiMwCXmGM

				
				An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst:
			

Alle externen Inhalte laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für mehr Informationen besuche die Datenschutz-Seite.


----------



## Brehministrator (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Was du hier beschreibst ähnelt Security by Obscurity, nach dem Motto mir wird schon nichts passieren. Und beschränke das nicht nur auf das aktive Ansurfen von Webseiten. Denk an all die Apps, die im Hintergrund selbstständig eine SSL Verbindung aufbauen zum Syncen oder deren Server in der Lage sind zu "pushen" und eine Verbindung vom Server zum Client und nicht vom Client zu Server auf zu bauen. Da es sich bei OpenSSL nicht um klassische Cleint/Server-Software handelt, sondern um eine Bibliothek, die von allen möglichen Programmen und Apps genutzt wird musst du von dem "solange ich nichts aktiv ansurfe passiert mir nichts" Gedanken weg kommen.


Es gibt diese Risiken schon, das will ich nicht bestreiten. Es ist halt m.E. trotzdem nicht so "akut", wie es auf den Servern ist. Es gibt zwar all diese Hintergrunddienste, aber letztlich muss trotzdem einer dieser Dienste absichtlich oder versehentlich Kontakt zu einem bösartig manipulierten Server aufnehmen, damit etwas droht. In die betroffenen Server kann man hingegen "einfach so einmarschieren" 

Ja, es wird interessant sein zu sehen, welche Smartphone-Hersteller Android-Fixes mit gefixter OpenSSL rausgeben. Leider sind Apps in Android ja keine echten Binärdateien. Sonst könnte einfach der App-Hersteller die aktuelle OpenSSL statisch einlinken, und wäre von der veralteten Betriebssystem-Version unabhängig. Geht ja aber leider so nicht.



Toffelwurst schrieb:


> Die jüngste Vergangenheit sollte eigl. gezeigt haben, dass DNS Spoofing eine der leichtesten Übungen darstellt. Wenn dir auf deinem Android Smartphone jemand die hosts Datei manipuliert bist du froh, wenn wenigstens sein OpenSSL auf dem aktuellsten Stand wäre.


 Na jaa, das gilt aber nur für gerootete Android-Phones. Bei einem nicht gerooteten Phone kann *keine *App, und sei sie noch so bösartig, auf die /etc/hosts schreiben. Da ist bisher auch keine Sicherheitslücke bekannt, die das ermöglicht - und wird wahrscheinlich auch nicht, denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Brehministrator schrieb:


> Na jaa, das gilt aber nur für gerootete Android-Phones. Bei einem nicht gerooteten Phone kann *keine *App, und sei sie noch so bösartig, auf die /etc/hosts schreiben. Da ist bisher auch keine Sicherheitslücke bekannt, die das ermöglicht - und wird wahrscheinlich auch nicht, denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed


 
Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt 
Gerade vor dem Hintergrund, dass Google Android immer mehr von der open Source Ecke wegnimmt.


Brehministrator schrieb:


> denn das wäre dann ein Bug im Linux-Kernel, und noch viel Fataler als Heartbleed


Das wäre kein Kernelproblem sondern nur ein Rechteproblem und da entstehen schnell Fehler die vielleicht nicht sofort auffallen.


----------



## IiIHectorIiI (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Sollte aber, den Leuten ist nur die Tragweite nicht bewusst, oder sie interessieren sich einfach nicht dafür, was sehr sehr schade ist, denn es geht um ihre Sicherheit und gerade in einem PC Forum sollte mehr Interesse da sein. Vor allem, weil nicht nur Server sondern auch viele Clients betroffen sind.


 
Das geringe Interesse für solche Themen ist leider exemplarisch für die Einstellung der großen Mehrheit der Internetnutzer. Es muss wohl erst so richtig krachen (sprich ins Geld gehn) ehe da ein Umdenken beginnt.


----------



## Brehministrator (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt
> Gerade vor dem Hintergrund, dass Google Android immer mehr von der open Source Ecke wegnimmt.


Ja, von mir aus, damit kann ich mich abfinden 


Toffelwurst schrieb:


> Das wäre kein Kernelproblem sondern nur ein Rechteproblem und da entstehen schnell Fehler die vielleicht nicht sofort auffallen.


 Das geht zwar jetzt wirklich in den Kleinkram, aber wo sonst außer im Kernel soll denn so ein Problem liegen? Wenn die Datei root gehört und auch nur Schreibrechte von root hat (so ist es, hab grad mal auf meinem gerooteten Smartphone nachgesehen *g*), und nun noch dazu kommt, dass auf einem nicht gerooteten Android-Phone sich keiner als Root anmelden kann... Dann führen alle Möglichkeiten, die Datei doch noch zu manipulieren (entweder trotz Sperre root werden, oder die Rechte der Datei ändern, oder trotz fehlender Rechte schreiben) direkt über den Kernel. Wie sonst soll es denn zu so einem Rechteproblem kommen? Da der Besitzer root ist, kann niemand den Besitzer oder die Rechte modifizieren


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Brehministrator schrieb:


> Das geht zwar jetzt wirklich in den Kleinkram, aber wo sonst außer im Kernel soll denn so ein Problem liegen? Wenn die Datei root gehört und auch nur Schreibrechte von root hat (so ist es, hab grad mal auf meinem gerooteten Smartphone nachgesehen *g*), und nun noch dazu kommt, dass auf einem nicht gerooteten Android-Phone sich keiner als Root anmelden kann... Dann führen alle Möglichkeiten, die Datei doch noch zu manipulieren (entweder trotz Sperre root werden, oder die Rechte der Datei ändern, oder trotz fehlender Rechte schreiben) direkt über den Kernel. Wie sonst soll es denn zu so einem Rechteproblem kommen? Da der Besitzer root ist, kann niemand den Besitzer oder die Rechte modifizieren


 
Da die ganzen herstellerangepassten Androidversionen alle nicht wirklich open Source und teilweise auf perverseste Art und Weise neu compiliert sind möchte ich nicht ausschließen, dass da Dateien die im Stock, Cyanogen, etc. Android root gehören nicht irgendwelche anderen Konstellationen in den Herstellerversionen aufweisen. Evtl. Flags für rwx falsch gesetzt, man kann ja nie wissen, dannn ist auch egal wem die Datei eigl. gehört. Aber für Stock und Cyanogen etc. hast du natürlich recht


----------



## turbosnake (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Wo wir wieder bei Security by Obscurity wären, nur weil man noch von keiner Sicherheitslücke weiß, kann man nicht davon ausgehen, dass es keine gibt


 Dann gilt das also für jedes Programm und jeden Kontakt eines PC zur "Außenwelt" entweder durch das Internet oder direkten Kontakt über USB und ähnliches? 
Dann kann man auch davon ausgehen das die Gefahr sich etwas einzufangen mit jedem Programm das auf diese Verbindungen Zugriff hat steigt.


----------



## Toffelwurst (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



turbosnake schrieb:


> Dann gilt das also für jedes Programm und jeden Kontakt eines PC zur "Außenwelt" entweder durch das Internet oder direkten Kontakt über USB und ähnliches?
> Dann kann man auch davon ausgehen das die Gefahr sich etwas einzufangen mit jedem Programm das auf diese Verbindungen Zugriff hat steigt.


 
Richtig und deswegen sollte man bekannte Sicherheitslücken schließen, auch wenn die Gefahr für Clients nicht so hoch sein mag wie für Server. Man kann nie wissen, ob ein evtl. noch unbekannter Bug schon genutzt wird und dadurch die Gefahr für ungepatchte Clients auf einmal um Faktor 10 höher ist als für Server. Durch das patchen von OpenSSL könnte man dann beidem entgegenwirken.

Gott ich schreib total verworren, aber ich hoffe man versteht was ich meine


----------



## Olstyle (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Golem unter Anderem zu Android:


> Was ist mit Android?
> 
> In der bei Android mitgelieferten OpenSSL-Version*wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen.*



Also für mich sieht es bis jetzt auch so aus, dass das Problem allgemein zwar riesig, gleichzeitig auf Client-Seite die Handlungsmöglichkeiten(und Bedarf) aber eher klein sind.


----------



## Brehministrator (9. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Olstyle schrieb:


> Golem unter Anderem zu Android:
> 
> "In der bei Android mitgelieferten OpenSSL-Version*wurde Heartbeat am 25.  Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des  problematischen Codes. Vermutlich sind damit nur wenige  Android-Telefone und Versionen betroffen.*"
> 
> Also für mich sieht es bis jetzt auch so aus, dass das Problem allgemein zwar riesig, gleichzeitig auf Client-Seite die Handlungsmöglichkeiten(und Bedarf) aber eher klein sind.


 Das sind sehr gute Neuigkeiten  Danke für diese Info.


----------



## SchumiGSG9 (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Jetzt mein PW überall zu ändern macht keinen Sinn solange die Server wo ich mich Anmelde z.B. Steam als auch GMX, Web.de usw noch nicht gepatched wurden ... einzig Minecraft kann ich das pw schon ändern sehe ich das richtig oder falsch ?


----------



## keinnick (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



SchumiGSG9 schrieb:


> Jetzt mein PW überall zu ändern macht keinen Sinn solange die Server wo ich mich Anmelde z.B. Steam als auch GMX, Web.de usw noch nicht gepatched wurden ... einzig Minecraft kann ich das pw schon ändern sehe ich das richtig oder falsch ?


 
Sofern die Server nicht gepatched sind kannst Du Dir die Änderung (noch) sparen. Zusätzlich sollten die Serverbetreiber auch ihre Zertifikate tauschen (Heartbleed SSL-GAU: Neue Zertifikate braucht das Land | heise Security) was Du als User allerdings nicht immer nachvollziehen kannst. Alles in allem ziemlich großer Mist, der da passiert ist.


----------



## bingo88 (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Und das alles wegen Missachtung von "Never ever trust user input". Da sind schon andere drüber gestolpert...


----------



## Rho (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Wenigstens zahlt sich jetzt das Geschäftsmodell von StartSSL so richtig aus. Kostenlose Zertifikate, aber 25 $ für den Widerruf. Das ist dann am Ende mehr als ein Vergleichbares Zertifikat bei einer anderen CA gekostet hätte. Im Gegensatz zu einigen anderen CAs sieht StartSSL aufgrund des Heartbleed-Bugs auch keinen Ausnahmefall, der das vorübergehende Aussetzen dieser Gebühr rechtfertigen würde. Es falle schließlich in den Verantwortungsbreich der Nutzer den privaten Schlüssel geheim zu halten und sichere Software zu verwenden. 

https://cv.exbit.io/emails/startssl_heartbeat.txt


----------



## Laggy.NET (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Macht es eigentlich sinn, jetzt schon alle Passwörter zu ändern, solange noch nicht alle Server aktualisiert wurden?


----------



## Toffelwurst (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Laggy.NET schrieb:


> Macht es eigentlich sinn, jetzt schon alle Passwörter zu ändern, solange noch nicht alle Server aktualisiert wurden?


 
Es schadet nie sein Passwort zu ändern, vor allem in regelmäßigen Abständen


----------



## buenzli2 (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Ja, echt eine Super Idee jetzt das Passwort zu ändern wo die Banken das Update noch nicht haben, LOL. In 5 Tagen frühstens. Oder jetzt und nachher jammer.


----------



## keinnick (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



buenzli2 schrieb:


> Ja, echt eine Super Idee jetzt das Passwort zu ändern wo die Banken das Update noch nicht haben, LOL. In 5 Tagen frühstens. Oder jetzt und nachher jammer.


 
Warum in 5 Tagen? Frag Deine Bank doch einfach ob sie die Zertifikate bereits ausgetauscht haben. Die Lücke sollten Sie bereits geschlossen haben aber das kannst Du vorab selbst prüfen: Test your server for Heartbleed (CVE-2014-0160) "Meine" Bank hat das innerhalb eines Tages geschafft.

Falls Du eigentlich gar nicht weißt worum es bei dem Problem geht, kannst Du Dich natürlich vorab auch mal einlesen.


----------



## Laggy.NET (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Es schadet nie sein Passwort zu ändern, vor allem in regelmäßigen Abständen


 
Das tue ich sowieso. Aber aus rein logischer sicht, wenn ich jetzt sofort alle meine Passwörter ändere, aber auf einigen Servern die Lücke erst in einigen Tagen geschlossen ist, dann müsste ich, um sicher zu sein, dort nochmals das Passwort ändern, da das neue Passwort ja auch abgefangen werden kann, solange die Lücke da ist, wodruch die Prozedur für die Katz wäre. Also kann ich genauso gut gleich warten... und die Passwörter erst in einer Woche ändern.

Würde halt gerne wissen, ob diese Vorgehensweise halbwegs sinnvoll ist, oder ob man davon ausgehen kann, dass bereits heute schon quasi "alle" server wieder sicher sind. (ich gehe mal davon aus, dass das nicht der Fall ist)


----------



## buenzli2 (10. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



keinnick schrieb:


> Warum in 5 Tagen? Frag Deine Bank doch einfach ob sie die Zertifikate bereits ausgetauscht haben. Die Lücke sollten Sie bereits geschlossen haben aber das kannst Du vorab selbst prüfen: Test your server for Heartbleed (CVE-2014-0160) "Meine" Bank hat das innerhalb eines Tages geschafft.
> 
> Falls Du eigentlich gar nicht weißt worum es bei dem Problem geht, kannst Du Dich natürlich vorab auch mal einlesen.



Ich bin Informatiker an einem Gymnasium. ^^


----------



## Rho (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



buenzli2 schrieb:


> Informatiker an einem Gymnasium


Glückwunsch dazu, was auch immer das sein soll...


----------



## Toffelwurst (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

So bekommt das doch schon gleich eine viel bessere Würze! 
Klick


----------



## buenzli2 (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Rho schrieb:


> Glückwunsch dazu, was auch immer das sein soll...


 
Gymnasium ^^


----------



## Festplatte (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Ich feier ja gerade alle Threema Nutzer mit Android Smartphone, am besten noch von einem der großen Hersteller, Samsung, HTC und wie sie alle heißen, die ja bekannt dafür sind Ihre Geräte 4 Monate mit Updates zu versorgen und danach die "alten" Geräte wie heiße Kartoffeln fallen zu lassen.
> Zu Android 2.2 Habe ich noch Informationen bezüglich der openssl Version finden können, dort kam noch Version 0.9.8 zum Einsatz die nicht betroffen ist. Es wird aber denke ich recht schnell auf die neueren Versionen 1.0.x + umgestiegen worden sein.
> 
> Viel Spass mit eurer End-to-End Verschlüsselung
> ...



Das die Lücke vorhanden ist, heißt aber nicht unbedingt, dass sie angreifbar ist. So siehts bei Android 4.3 auf meinem S3 aus:




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Rho (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



buenzli2 schrieb:


> Gymnasium ^^


Meine Frage war nicht, was ein Gymnasium ist. Leseverständnis ist schon mal nicht eine deiner Stärken.


----------



## Toffelwurst (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Festplatte schrieb:


> Das die Lücke vorhanden ist, heißt aber nicht unbedingt, dass sie angreifbar ist. So siehts bei Android 4.3 auf meinem S3 aus:


 
Un wie schauts mit den Threema Servern aus? Wer garantiert dir, dass da nicht schon lange alles abgegriffen wurde?


----------



## Festplatte (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Un wie schauts mit den Threema Servern aus? Wer garantiert dir, dass da nicht schon lange alles abgegriffen wurde?


 
Was interessieren mich die Threema-Server? Gibt bessere Alternativen.


----------



## Auerswald (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

* Android ist betroffen!*

Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.

Und android-Nutzer können ja bekanntlich lange auf Softwareupdates warten!


----------



## Freakless08 (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Auerswald schrieb:


> * Android ist betroffen!*
> 
> Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.
> 
> Und android-Nutzer können ja bekanntlich lange auf Softwareupdates warten!


 Quelle oder hast du keine?


----------



## Festplatte (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Auerswald schrieb:


> * Android ist betroffen!*
> 
> Aber wie immer erwähnen das die Massenmedien 0,0 und beim Apple-SSL-Bug haben sie einen rießen Aufstand gemacht, obwohl bei bekanntwerden schon iOS-Updates bereitstanden.
> 
> Und android-Nutzer können ja bekanntlich lange auf Softwareupdates warten!



Apple-Fanboy incoming!  Ne, Spaß. 

Android ist zwar betroffen, die Lücke ist aber nicht unbedingt angreifbar. Außerdem verallgemeinerst du grade mit dem Satz "Und android-Nutzer können ja bekanntlich lange auf Softwareupdates warten!", da das Geräte-Abhängig ist und nichts direkt mit dem OS zu tun hat. Da habe ich lieber eine Sicherheitslücke die aber nicht angreifbar ist, als mit diesem iOS-Blödsinn auf Apple angewiesen zu sein.  Woher weißt du eigentlich, dass dein iOS-Gerät nicht von Heartbleed betroffen ist?


----------



## Olstyle (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Apple ist nicht betroffen weil man auf OSX immer noch bei OpenSSl <1.0 ist(und bei iOS wird grundsätzlich eine andere Lib verwendet). Android ist mit den Versionen 4.0 bis 4.1.1 betroffen. Allerdings ist ein Angriff gegen einen Client grundsätzlich eher unwahrscheinlich (siehe Argumentation in einem der vorherigen Posts).
http://www.heise.de/newsticker/meldung/Smartphones-vom-SSL-GAU-fast-nicht-betroffen-2167793.html
Alles natürlich nur bezogen auf das OS selbst, was einzelne Apps nutzen kann man so einfach nicht kontrollieren.

XKCD hat übrigens eine anschaulich Erklärung wie der Bug funktioniert:
http://xkcd.com/1354/


----------



## Festplatte (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Na dann, gut dass Apple veraltete OpenSSL-Versionen verwendet.


----------



## Toffelwurst (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Festplatte schrieb:


> Na dann, gut dass Apple veraltete OpenSSL-Versionen verwendet.


 
Muss sowas sein?



Festplatte schrieb:


> So siehts bei Android 4.3 auf meinem S3 aus:



Na dann, gut dass Samsung völlig veraltete OS Versionen verwendet


----------



## Festplatte (11. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Toffelwurst schrieb:


> Muss sowas sein?
> 
> 
> 
> Na dann, gut dass Samsung völlig veraltete OS Versionen verwendet


 
Als völlig veraltet würde ich 4.3 ja nicht bezeichnen.  Solange die Lücke nicht angreifbar ist, ist das ja kein Problem.


----------



## Pokerclock (12. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

@Festplatte und Toffelwurst

Eure Privatdiskussion wurde ausgeblendet und wird bitte (gesittet) von euch per PN fortgesetzt. Danke.
*
B2T*


----------



## Festplatte (12. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Pokerclock schrieb:


> Eure Privatdiskussion wurde ausgeblendet und wird bitte (gesittet) von euch per PN fortgesetzt.



Danke sehr.

B2T:

Für Firmen, Banken, usw. ist die Lücke natürlich dramatisch, als Privatanwender Opfer eines Angriffs zu werden ist aber wohl ziemlich unwahrscheinlich. Zumindest direkt, bei Online-Diensten sollte man sicher sein PW ändern, ich würde damit aber noch 1-2 Tage warten, bis fast alle Server geupdatet sind. Sonst hat die Sache ja wenig Sinn.


----------



## Dr Bakterius (12. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Das neue Hobby der PC User, täglich die Passwörter ändern. Ein paar klärende Worte wären da angebracht damit der User weiß woran er ist


----------



## timboy888 (12. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Hi muss mann sie jetzt gedanken machen ? Kann mann normal Zocken wie Steam, Origin und Uplay was ist mit den downloads also treiber und programme ist das alles ok ?


----------



## Nexus71 (13. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Was ich komisch finde, man liest dauernd von Viren, Lücken, Gefahr, Malware etc usf. aber ich hatte so gut wie noch nie Probleme damit...........(mag sein, weil ich a) keine Emails öffne o. runterlade b) kein I-net Explorer nutze und c) mein Windows immmer aufräume und Spam, Cookies etc. rausschmeisse..... ?). Es mag sein, dass geringe Maßnahmen schon ausreichen um den meisten Gefahren zu entgehen. Ebenso scheint es manchmal so zu sein, dass eine Art Panikmache betrieben wird. Ich habe erst gestern wieder mal mit 3 versch. Scannern mein Sys bearbeitet und wieder wurde NIX gefunden. Ich habe auch noch 1 Win XP Partition - auch dort schien der Hacker Angriff ausgeblieben zu sein - obwohl MS einen ja dauernd daran erinnert, wie schrottig und gefährlich XP nun angeblich ist. Klar Win7 64bit ist überlegen und sicherer, aber XP ist (noch) kein offenes Scheunentor meiner Ansicht nach, wenn man sich ein wenig Mühe gibt.

Ich vermute aber eher, dass ich als Person schon durchleuchtet wurde (von NSA, div. Hackern etc.) und es wurde festgestellt ich bin ein armes Schwein und es gibt nix zu holen bei mir  oder auch


----------



## ebastler (13. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Ich bin grad richtig froh, dass meine Bank bei der nicht betroffenen, älteren SSL Lib geblieben ist, da ich im betroffenen Zeitraum 2-3 Male in meinem Onlinebanking war und eine Übrrweisung getätigt habe...
Ist schon cool, wenn man den IT-Sicherheitschef persönlich kennt ^^


----------



## Nexus71 (14. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Und noch was: Es gibt die Vermutung, dass nicht legale Betriebssystem Installationen erheblich anfälliger sind. Ein Indix dafür könnte ein Bekannter von mir sein, dem hab ich mal den Rechner aufgeräumt vor einigen Wochen. Nun hat er wieder Viren und Spyware ohne Ende drauf. Hab seinen PC in etwa so eingestellt wie meine eigenen (und ich hab so gut wie nie Probleme mit Viren etc.). Der Unterschied scheint also zu sein, dass sein XP eine Kopie ist, meine ist Original.... nur so ein Gedanke. Er bekommt auch eine Warnung auf den Desktop von MS, dass sein Win nicht original ist. Wir haben nun ein Win7 Orig gekauft.

Ich meine Win7 ist ja wirklich nicht teuer, warum dann soviele noch Kopien nutzen und sich selbst gefährden ist mir ein Rätsel. Und dann wird gemeckert wie unsicher das OS sein lol


----------



## keinnick (14. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Nexus71 schrieb:


> Was ich komisch finde, man liest dauernd von Viren, Lücken, Gefahr, Malware etc usf. aber ich hatte so gut wie noch nie Probleme damit...........(mag sein, weil ich a) keine Emails öffne o. runterlade b) kein I-net Explorer nutze und c) mein Windows immmer aufräume und Spam, Cookies etc. rausschmeisse..... ?). Es mag sein, dass geringe Maßnahmen schon ausreichen um den meisten Gefahren zu entgehen. Ebenso scheint es manchmal so zu sein, dass eine Art Panikmache betrieben wird. Ich habe erst gestern wieder mal mit 3 versch. Scannern mein Sys bearbeitet und wieder wurde NIX gefunden. Ich habe auch noch 1 Win XP Partition - auch dort schien der Hacker Angriff ausgeblieben zu sein - obwohl MS einen ja dauernd daran erinnert, wie schrottig und gefährlich XP nun angeblich ist. Klar Win7 64bit ist überlegen und sicherer, aber XP ist (noch) kein offenes Scheunentor meiner Ansicht nach, wenn man sich ein wenig Mühe gibt.
> 
> Ich vermute aber eher, dass ich als Person schon durchleuchtet wurde (von NSA, div. Hackern etc.) und es wurde festgestellt ich bin ein armes Schwein und es gibt nix zu holen bei mir  oder auch



Du kannst Deinen Rechner so oft scannen wie Du magst. Das wird nichts besser oder schlimmer machen. Das Problem existiert(e) in erster Linie auf den Servern, denen Du Deine Daten anvertraut hast.



Nexus71 schrieb:


> Und noch was: Es gibt die Vermutung, dass nicht legale Betriebssystem Installationen erheblich anfälliger sind. Ein Indix dafür könnte ein Bekannter von mir sein, dem hab ich mal den Rechner aufgeräumt vor einigen Wochen. Nun hat er wieder Viren und Spyware ohne Ende drauf. Hab seinen PC in etwa so eingestellt wie meine eigenen (und ich hab so gut wie nie Probleme mit Viren etc.). Der Unterschied scheint also zu sein, dass sein XP eine Kopie ist, meine ist Original.... nur so ein Gedanke. Er bekommt auch eine Warnung auf den Desktop von MS, dass sein Win nicht original ist. Wir haben nun ein Win7 Orig gekauft.
> 
> Ich meine Win7 ist ja wirklich nicht teuer, warum dann soviele noch Kopien nutzen und sich selbst gefährden ist mir ein Rätsel. Und dann wird gemeckert wie unsicher das OS sein lol


 
Beschäftige Dich mal näher mit Heartbleed. Wenn sich Dein Bekannter ständig Viren oder Spyware einfängt liegt das sicher nicht an Heartbleed, sondern eher daran, dass er mit ner (gecrackten?) Windowsversion rumgurkt, die wahrscheinlich noch nie Updates erhalten hat.


----------



## ebastler (14. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Ich habe ne Weile ein gecracktes Win7 pro x64 genutzt (bzw eine .iso von Chip, mit Aktivator) und hatte nie auch nur ein Problem... Alle Updates geladen, im Netz nie wirklich aufgepasst, und keinen Virus.

Naja, schließlich bin ich doch auf ein legales 8.1 umgestiegen, legal fühlt sich besser an. Nicht wegen der Sicherheit, aber weil ich mich einfach mies fühle, wenn ich was gecracktes nutze.


----------



## Tim1974 (15. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Wie ist das eigentlich wenn man wie ich Mozilla Thunderbird (in aktueller Version) unter Linux Mint 16 nutzt und da SSL/TSL-Verschlüsselung für die Konten eingetragen hat, kann es da dann passieren, daß die Accountdaten bzw. das Passwort geklaut wird?

Als weiteres, was ist mit den Zugangsdaten im Router, bei mir zu meinem t-online Internetzugang, besteht da das Risiko, das diese geklaut werden?


----------



## Olstyle (19. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Tim36 schrieb:


> Wie ist das eigentlich wenn man wie ich Mozilla Thunderbird (in aktueller Version) unter Linux Mint 16 nutzt und da SSL/TSL-Verschlüsselung für die Konten eingetragen hat, kann es da dann passieren, daß die Accountdaten bzw. das Passwort geklaut wird?


Mozilla hat seine eigene SSL-Lib und nutzt damit kein OpenSSL -> sicher vor Heartbleed


> Als weiteres, was ist mit den Zugangsdaten im Router, bei mir zu meinem t-online Internetzugang, besteht da das Risiko, das diese geklaut werden?


 Das ist auf einer viel tieferen Ebene als die "normale" Kommunikation und damit (zumindest von Heartbleed) nicht gefährdet.


----------



## Toffelwurst (19. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*



Tim36 schrieb:


> Als weiteres, was ist mit den Zugangsdaten im Router, bei mir zu meinem t-online Internetzugang, besteht da das Risiko, das diese geklaut werden?





Olstyle schrieb:


> Das ist auf einer viel tieferen Ebene als die "normale" Kommunikation und damit (zumindest von Heartbleed) nicht gefährdet.


 
Allerdings kann der auf dem Router laufende Webserver von Heartbleed betroffensein. Deshalb mal auf der Hersteller Seite schauen oder den Hersteller anschreiben und nachfragen, was für eine OpenSSL Version auf den Geräten eingesetzt wird. Heise hat hier auch schon Anfragen gestellt und teilweise eine Antwort bekommen.  Bei Geräten, die man direkt vom Provider gestellt bekommt, sollte man diesen anschreiben und nachfragen. Generell gilt aber, so lange man nicht genau weis, welche OpenSSL Version auf seinem Router installiert ist, sollte man auf jeden Fall den Zugang zur Konfigurationsseite vom Internet Interface aus deaktivieren (Remote Access / Remote Login).


----------



## Tim1974 (19. April 2014)

*AW: Heartbleed Bug: Eine OpenSSL-Sicherheitslücke bedroht das ganze Web*

Danke Euch für die Beantwortung meiner Fragen, klingt dann ja doch eher beruhigend.

Ich habe ein Speedport-Router mit VDSL T-Online Zugang, dieser hat zum Glück eine automatische Updatefunktion integriert. Insofern hoffe ich mal wird der sich gegebenenfalls von selbst updaten und dann wieder sicher sein.


----------

