Allgemeine Informationen zu Elektronik, Platinen, Programmierung, PCs und mehr...

Gepostet von   am   in Elektronik-News  | Keine Kommentare | aktualisiert am  | 168 mal gelesen
noch kein mal als PDF heruntergeladen

Heartbleed

   Heartbleed

Heartbleed – Die Sicherheitslücke

Heartbleed
Heartbleed

Was ist Heartbleed?

 
Nicht nur geknackte E-Mail-Accounts und Angriffe auf den eigenen PC mit gefälschten Mails machen uns Sorgen, sondern auch hausgemachte Sicherheitslücken aus der IT können uns treffen.

 
Die Sicherheitslücke wurde vom OpenSSL-Team am 07.04.2014 bekanntgegeben. Dort heißt es, dass die OpenSSL-Versionen 1.0.1 bis einschließlich 1.0.1f und 1.0.2-beta bis einschließlich 1.0.2-beta1 den sogenannten Heartbleed-Bug aufweisen. Die Lücke bestand für ganze 27 Monate. Der Heartbleed-Bug wurde am 31.12.2011 in den Code des OpenSSL-Git-Repository eingepflegt und am 14.03.2012 mit der OpenSSL-Version 1.0.1 veröffentlicht.
Eigentlich war das gedacht, um den Code mit dem Heartbeat-Verfahren zu erweitern. Es ging darum in TLS und DTLS zu erfragen ob die Gegenstelle noch erreichbar ist, damit die Verbindung bei kurzer Inaktivität nicht beendet wird.

Und so funktioniert Heartbleed:

 

Heartbleed erklärt
Heartbleed erklärt

Nicht nur das Abgreifen von Zugangsdaten (Benutzernamen, Passwörter) war möglich. Mit dem privaten Schlüssel eines Serverzertifikates konnte auch lange vor Bekanntwerden des Fehlers aufgezeichneter Datenverkehr entschlüsselt werden. Zumindest dann, wenn die Verschlüsselung nicht mit “Perfect Forward Secrecy” geschützt war.
Mit solch einem privaten Schlüssel konnte auch, wenn das Serverzertifikat noch nicht abgelaufen oder widerrufen war, mittels Heartbleed ein “Man-in-the-middle-Angriff” durchgeführt werden.
Das Ausspähen der Daten hinterlässt kaum Spuren, daher ist es kaum bekannt, wie oft Heartbleed in der Vergangenheit ausgenutzt wurde.

Inzwischen ist die Sicherheitslücke behoben.

Was bleibt nun für den Nutzer zu tun?

 
Am heimischen PC ist nicht viel zu machen.
Es wird empfohlen, seine Benutzerdaten zu ändern. Das betrifft Mail-Accounts, Facebook, Amazon usw.
Beim Smartphone sollte man durchaus mit einer App prüfen, ob man von Heartbleed betroffen ist. Googles Betriebssystem war in der Version 4.1.1 beim Bekanntwerden von Heartbleed betroffen.
Mit dieser App von TrendMicro aus dem Googleplaystore kann man das machen.

(Bildquelle Wikipedia, Urheber SomeUser953 with modifications by Patrick87 Some rights reserved)


Bewerte den Artikel, wenn du magst:
[Gesamt: 23 Durchschnitt: 4.7/5]


Schlagwörter:
 
 

Kommentar verfassen

Du kannst auch mit einem deiner folgenden Profile kommentieren*:


* Zustimmung zur Datenschutzerklärung
Dieses Kommentarformular speichert Name, E-Mailadresse und Inhalt, sowie die IP-Adresse für maximal 60 Tage. Für detaillierte Informationen lies bitte unsere Datenschutzerklärung.
*

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. - HTML ist erlaubt.Du kannst folgende HTML Tags und Attribute benutzen:
<a href="" title=""> <abbr title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strong> <pre style=""> <span style=""> .

Top
green

BILDSCHIRM OFF.
SPAREN ON!

Ein dunkler Monitor verbraucht im Gegensatz zu einem hellen bis zu 20% weniger Strom.
Daher spare ich jetzt Energie für dich.

Harrys Welt