Heartbleed

Moderator: Moderatoren Forum 4

Benutzeravatar
garfield336
Beiträge: 10222
Registriert: Mo 25. Mär 2013, 21:05

Heartbleed

Beitragvon garfield336 » Sa 12. Apr 2014, 07:28

Oder wie sie das nennen.

Das Leck wird ja als Supergau des Internet bezeichnet. Dabei mus doch jedem klar sein dass das Internet per se unsicher ist.

Und warun wird nun auf diversen Internetseiten behauptet dass man jetzt dringend sein passwort aendern muesste wo doch spaetestens jetzt klar sein jedem klar sein muesste dass das passwort 1234 genau so sicher oder unsicher ist wie ein paswort mit 30zeichen inklusive sonderzeichen zahlen und gross und kleinschreibung
Benutzeravatar
Adam Smith
Beiträge: 24791
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitragvon Adam Smith » Sa 12. Apr 2014, 07:48

Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.
Benutzeravatar
garfield336
Beiträge: 10222
Registriert: Mo 25. Mär 2013, 21:05

Re: Heartbleed

Beitragvon garfield336 » Sa 12. Apr 2014, 07:53

Adam Smith » Sa 12. Apr 2014, 07:48 hat geschrieben:Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.


Bei der SSL sicherheitsluecke genannt Heartbleed wussten die Angreifer das Passwort. Sie konnten es auslesen. Da ist es unerheblich wie lang es ist.

Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist
Zuletzt geändert von garfield336 am Sa 12. Apr 2014, 07:56, insgesamt 2-mal geändert.
Benutzeravatar
garfield336
Beiträge: 10222
Registriert: Mo 25. Mär 2013, 21:05

Re: Heartbleed

Beitragvon garfield336 » Sa 12. Apr 2014, 07:57

SSL mus in Zukunft als unsicher gelten.
Benutzeravatar
Adam Smith
Beiträge: 24791
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitragvon Adam Smith » Sa 12. Apr 2014, 08:18

garfield336 » Sa 12. Apr 2014, 08:53 hat geschrieben:
Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist


Solange die NSA darauf zugriff hat wäre das in der Tat unsicher. Das Problem bei langen Passwörtern ist, dass die NSA bei diesen Passwörtern sehr viele Versuche bei einer Website starten muss. Und jeder Versuch dauert seine Zeit. Weil die Webseiten langsam die Eingaben der falschen Passwörter verarbeiten. Und das bringt der NSA schon Probleme, weil so viel Zeit haben die nicht.
Benutzeravatar
garfield336
Beiträge: 10222
Registriert: Mo 25. Mär 2013, 21:05

Re: Heartbleed

Beitragvon garfield336 » Sa 12. Apr 2014, 08:24

Adam Smith » Sa 12. Apr 2014, 08:18 hat geschrieben:
garfield336 » Sa 12. Apr 2014, 08:53 hat geschrieben:
Und man mus davon ausgehen dass etwas was waehrend einem Jahrzehnt unsicher war auch nach einem Update immer noch unsicher ist


Solange die NSA darauf zugriff hat wäre das in der Tat unsicher. Das Problem bei langen Passwörtern ist, dass die NSA bei diesen Passwörtern sehr viele Versuche bei einer Website starten muss. Und jeder Versuch dauert seine Zeit. Weil die Webseiten langsam die Eingaben der falschen Passwörter verarbeiten. Und das bringt der NSA schon Probleme, weil so viel Zeit haben die nicht.


Man braucht nur ein Versuch wenn man das richtige password kennt.
Benutzeravatar
Adam Smith
Beiträge: 24791
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitragvon Adam Smith » Sa 12. Apr 2014, 08:30

Wobei laut Snowden nur die E-Mail-Adresse dazu ausreicht. Die brauchen anscheinend auch noch die Passwörter.

Gegenteiliges zu Protokoll: Snwoden hatte etwa bekräftigt, als NSA-Analyst sehr wohl zielgerichtet Personen überwachen zu können, auch den US-Präsidenten. Dazu bräuchte er nur eine persönliche E-Mail-Adresse.


http://www.heise.de/newsticker/meldung/ ... 25560.html
Zuletzt geändert von Adam Smith am Sa 12. Apr 2014, 08:31, insgesamt 1-mal geändert.
Benutzeravatar
Adam Smith
Beiträge: 24791
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitragvon Adam Smith » Sa 12. Apr 2014, 08:40

Eigentlich sollte der Einsatz eines Passwort-Managers so selbstverständlich sein wie das Schreiben einer E-Mail.


Die NSA hätte so etwas schon gerne. Große Schwierigkeiten würde die NSA bekommen, wenn sie erstens die E-Mail-Adresse nicht kennt und zweitens das Passwort der E-Mail-Adresse lang ist und nicht von einem Programm erzeugt worden ist. Dann ärgern die sich so richtig.

http://www.spiegel.de/netzwelt/web/hear ... 63953.html
Zuletzt geändert von Adam Smith am Sa 12. Apr 2014, 08:43, insgesamt 1-mal geändert.
Benutzeravatar
lobozen
Beiträge: 9962
Registriert: Mo 2. Jun 2008, 22:22
Benutzertitel: fugitive
Wohnort: Where women glow and men plunder

Re: Heartbleed

Beitragvon lobozen » Sa 12. Apr 2014, 09:00

Adam Smith » Sa 12. Apr 2014, 09:40 hat geschrieben:
...und zweitens das Passwort der E-Mail-Adresse lang ist und nicht von einem Programm erzeugt worden ist. Dann ärgern die sich so richtig.
Du kapierst es einfach nicht, oder? Falls der NSA Heartbleed bekannt war und falls sie die Luecke (was dann ziemlich wahrscheinlich waere) ausgenutzt hat, ist es voellig unerheblich, wie lang und womit erzuegt dein Passort ist.
"what you call love was invented by guys like me, to sell nylons"
Benutzeravatar
Adam Smith
Beiträge: 24791
Registriert: Mi 18. Jan 2012, 21:57

Re: Heartbleed

Beitragvon Adam Smith » Sa 12. Apr 2014, 09:57

lobozen » Sa 12. Apr 2014, 10:00 hat geschrieben:Du kapierst es einfach nicht, oder? Falls der NSA Heartbleed bekannt war und falls sie die Luecke (was dann ziemlich wahrscheinlich waere) ausgenutzt hat, ist es voellig unerheblich, wie lang und womit erzuegt dein Passort ist.


Es geht mir darum zu zeigen, warum die NSA neue Wege geht.
Benutzeravatar
MoOderSo
Beiträge: 7644
Registriert: Mo 2. Jun 2008, 22:54
Benutzertitel: (•̀ᴗ•́)و

Re: Heartbleed

Beitragvon MoOderSo » Sa 12. Apr 2014, 11:10

garfield336 » Sa 12. Apr 2014, 07:53 hat geschrieben:
Adam Smith » Sa 12. Apr 2014, 07:48 hat geschrieben:Das hängt davon ab, wie oft man ein Passwort eingeben darf. Wenn man nur drei Versuche zur Verfügung hat, dann reicht auch ein Passwort mit 4 Zeichen aus. Ein Beispiel dafür wären die Bankautomaten.


Bei der SSL sicherheitsluecke genannt Heartbleed wussten die Angreifer das Passwort. Sie konnten es auslesen.

Sie kannten nur ihr eigenes Passwort. Andere Passworte konnten nicht gezielt abgefischt werden. Man konnte nur das sehen, was zufällig gerade in den benachbarten 16 KByte des Arbeitsspeichers lag.
Der Anarchist ist kein Feind der Ordnung. Er liebt die Ordnung so sehr, daß er ihre Karikatur nicht erträgt.
HugoBettauer

Re: Heartbleed

Beitragvon HugoBettauer » Mo 15. Sep 2014, 09:25

MoOderSo » Sa 12. Apr 2014, 11:10 hat geschrieben:Sie kannten nur ihr eigenes Passwort. Andere Passworte konnten nicht gezielt abgefischt werden. Man konnte nur das sehen, was zufällig gerade in den benachbarten 16 KByte des Arbeitsspeichers lag.

Darunter können zwar Passwörter gewesen sein, aber dass die NSA nun alle Passwörter kenne, ist unsinnig. Zudem betraf HB nur bestimmte openssl-Versionen. GnuTLS und ältere openssl-Versionen, wie sie in Enterprise-Linuxsystemen (RHEL, OEL, SUSE) eingesetzt werden, sind gar nicht betroffen.

Zurück zu „43. Computer - Internet - Telekommunikation - Netzpolitik“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast