NSA soll OpenSSL-Bug Heartbleed 2 Jahre lang ausgenutzt haben

11. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Wie es aussieht hat ein Programmierfehler dafür gesorgt, dass die NSA zwei Jahre lang eine Backdoor auf Servern mit OpenSSL hatte und diese auch genutzt hat. Dass die katastrophale Sicherheitslücke keine absichtliche Backdoor war, sondern schlicht ein Programmierfehler, sagte auch der Ex-Professor von Robin Seggelmann (sorgte für den Fehler) heute im Wall Street Journal. Bloomberg berichtet jetzt über die Ausnutzung der Lücke durch die NSA.

Heartbleed_NSA

CloudFlare: Heartbleed OpenSSL-Lücke weniger schlimm als befürchtet?

11. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Der Heartbleed Bug sorgt schon die ganze Woche für Schlagzeilen. Durch eine Lücke in OpenSSL soll es möglich sein, unter anderem private SSL-Keys von Servern abzugreifen und somit den verschlüsselten Datenverkehr für Angreifer sichtbar zu machen. Eine Katastrophe, wird OpenSSL von unzähligen Diensten. CloudFlare wusste seit 12 Tagen von der Lücke und hat seitdem getestet, wie und ob sich mit dem Heartbleed Bug tatsächlich private SSL-Keys abgreifen lassen.

Heartbleed

Das Ergebnis lässt etwas hoffen, laut CloudFlare sei es in den 12 Tagen nicht gelungen, SSL-Keys durch Angriffe von den Servern zu holen. Das heißt nun nicht, dass der Bug nicht existiert und eine theoretische Chance zur Erlangung der SSL-Keys besteht trotzdem, aber es scheint zumindest im Fall CloudFlare nicht so einfach zu sein, wie bisher angenommen. Dennoch können durch diese Lücke natürlich Daten von den Servern entwendet werden.

Passwort Manager: RoboForm verschenkt Jahreslizenz für RoboForm Everywhere

11. April 2014 Kategorie: Backup & Security, Software & Co, geschrieben von: caschy

Im Zuge des OpenSSL-Bugs versuchen die diversen Passwort Manager neue Kunden für sich zu gewinnen, so gibt es derzeit zum Beispiel 1Password 50 Prozent günstiger, RoboForm verschenkt gar eine Jahreslizenz von RoboForm Everywhere. Hierbei handelt es sich um eine Lösung, bei der die Logins verschlüsselt in der Cloud gespeichert werden – ähnlich LastPass.

Bildschirmfoto 2014-04-11 um 12.46.31

Hierzu gibt es dann die entsprechende Software auf den diversen Plattformen, so gibt es Clients für OS X, iOS, Android, Windows – und dies sogar als portable Windows-Variante. Ebenfalls stehen Browser-Erweiterungen zur Verfügung. Ich selber kann zu RoboForm nichts sagen, da ich immer nur KeePass, LastPass und 1Password im Fokus hatte.  Die Jahreslizenz kostet ansonsten 20 Dollar und freigeschaltet wird über das Hilfe-Menü der Software. Der Key lautet 4ZF-R7Z-XWY-MUJ, wie auch auf der Aktionsseite beschrieben.

Heartbleed: 1Password für iOS, Windows und OS X um 50 Prozent reduziert

11. April 2014 Kategorie: Android, Apple, Backup & Security, iOS, Windows, geschrieben von: caschy

Kurz notiert: Agile Bits hat den Passwort-Manager 1Password für Windows und OS X um satte 50 Prozent reduziert. So bekommt man derzeit das komplette Bundle, bestehend aus OS X- und Windows-App für 34,99 Dollar, während man für die Einzel-App jeweils 24,99 Dollar zahlen würde.

1password

Google weitet Sicherheits-Service für Android aus

10. April 2014 Kategorie: Android, Backup & Security, Mobile, geschrieben von: Sascha Ostermaier

Google scannt bei der Installation von Apps auf einem Android-Gerät immer, ob die Installations-Datei nicht Schadcode mit sich führt. Nach der Installation ist Googles Arbeit dann getan und die App kann machen, was sie will. Diesen Service weitet Google nun aus und scannt die Android-Geräte kontinuierlich nach Apps, die sich nicht ordentlich benehmen. Ein Großteil der Nutzer wird nie eine Warnmeldung von Google zu Gesicht bekommen. Wie Google nämlich mitteilt, installieren nur 0,18% der Nutzer eine App, nachdem sie eine Warnung des App Verify Service erhalten haben. Interessant wird die Sache mit Apps, die im Nachhinein Schadcode in die App laden. Hier sollte Googles erweiterter Sicherheitsmechanismus dann greifen. Das ganze Sicherheitssystem (Überprüfung während und nach der Installation) funktioniert mit Android 2.3 oder höher, falls der Play Store auf dem Gerät vorhanden ist. Nutzer müssen für dieses Sicherheits-Feature nichts extra installieren, Google macht diese Überprüfungen automatisch.

Google_Verify_Apps

OpenSSL-Sicherheitslücke Heartbleed: Synology stellt DSM-Updates bereit

10. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Alle von euch dürften die OpenSSL-Sicherheitslücke mitbekommen haben, die auf den Namen Heartbleed getauft wurde. Heartbleed macht es bei ungepatchten Servern möglich, Inhalte aus einem Speicherbereich auszulesen. Zu diesen Daten können Cookies gehören, aber auch Passwörter und Nutzernamen im Klartext. Auch Synology hat nun für seine DiskStations ein Update auf die Version 5.0-4458 Update 2 veröffentlicht.

dsm update synology

Dieses Update behebt nicht nur diese Sicherheitslücke, sondern schließt auch eine weitere, bei der verschlüsselte Shared Folders automatisch wieder gemountet wurden, nachdem das Passwort des Administrators zurückgesetzt wurde. Ebenfalls behoben wurde das Problem, dass das Indexing der Media Library grundlos stoppen konnte. Ihr seht, das Update ist eine Pflichtveranstaltung, schnappt euch eure DiskStation, loggt euch in den DiskStation Manager ein, der in der Systemsteuerung schon eine Meldung von sich geben sollte, dass ein Update zur Installation bereits steht.

LastPass mit Heartbleed Prüf-Tool

9. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Eine dicker Bug in einer OpenSSL Library erschüttert immer noch das Internet. Heartbleed macht es bei ungepatchten Servern möglich, Inhalte aus einem Speicherbereich auszulesen. Zu diesen Daten können Cookies gehören, aber auch Passwörter und Nutzernamen im Klartext – wie zum Beispiel im Fall von Yahoo. Konkret waren auch die Server des Passwort Managers LastPass betroffen, was im konkreten Fall aber kein Abfischen von unverschlüsselten Nutzerdaten möglich machte, da die Struktur der Server dahingehend abgesichert ist (siehe auch dieser Beitrag).

Bildschirmfoto 2014-04-09 um 22.32.37

Das Problem ist halt: Nutzer können ihre Passwörter zwar ändern, was bei nicht gepatchten Server allerdings nur wenig bringen dürfte. LastPass hat nun im Optionsmenü ein Heartbleed-Prüftool integriert. Dieses Tool zeigt an, ob ihr in eurer Datenbank Zugangsdaten von Diensten habt, deren Server betroffen sind, ferner zeigt das Tool an, wann ihr euer Passwort zuletzt geändert habt und wann die Zertifikate des Servers aktualisiert wurden. Sofern die Zertifikate aktualisiert und der Bug behoben ist, weist LastPass darauf hin, die Passwörter zu ändern. Übrigens: auch Google musste eifrig Dienste patchen – und man ist immer noch dabei.

BoxCryptor: Verschlüsselungsprogramm erscheint heute für Windows RT, BlackBerry 10 und Windows Phone

9. April 2014 Kategorie: Backup & Security, Software & Co, geschrieben von: caschy

Die aus Deutschland stammende Sicherheitslösung zum Verschlüsseln von Dateien in der Cloud – Boxcryptor – die hier im Blog schon einige Male Gast war, wird heute für Windows Phone, Windows RT und Blackberry 10 erscheinen, dies teilte man heute mit.

BoxCryptor-Windows-Phone

Yahoo und Flickr: Server von OpenSSL-Lücke betroffen, Nutzerdaten abfischbar

8. April 2014 Kategorie: Backup & Security, geschrieben von: caschy

Schlechte Nachrichten gibt es für Nutzer von Yahoo und dem von Yahoo damals übernommenen Foto-Dienst Flickr. Durch die heute morgen bekannt gewordene OpenSSL-Lücke sind unzählige Server im Internet von einer potentiellen Sicherheitslücke betroffen. Das Schlimme: bei Flickr ist dies konkret. Gegen 15:30 Uhr durchgeführte Tests (Werkzeuge finden sich auf GitHub) zeigen: in 13 von 20 Tests ließen sich bei Yahoo-Servern Session Cookies entwenden.

Bildschirmfoto 2014-04-08 um 16.11.16

Anmerkung: die Tests wurden nicht von uns durchgeführt, ein an der Thematik interessierter Leser ließ uns seine Erkenntnisse zukommen – wer mag, der kann zusätzlich die Twittersuche bemühen, dort gibt es ebenfalls viele Informationen, auch Screenshots, die Passwörter und Nutzernamen zensiert zeigen. Unschön das Ganze – LastPass hat anscheinend in der Zwischenzeit gepatcht, ob Daten abhanden gekommen sind, wurde noch nicht beantwortet. Höchstwahrscheinlich gibt es noch unzählige Dienste, die ebenfalls so offen sind. Kurzum: das Ganze ist ein GAU.

LastPass-Server von OpenSSL-Lücke betroffen

8. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Kurz notiert: ich möchte hier niemanden in Panik versetzen, der auf den Passwort Manager LastPass setzt, aber zur Stunde sieht es so aus, als sei der Dienst, bzw. der Server anfällig für die bekannt gewordene OpenSSL-Sicherheitslücke, Überprüfungen des Servers haben ergeben, dass dort immer noch nicht die aktuelle OpenSSL-Version eingesetzt wird.

Bildschirmfoto 2014-04-08 um 12.38.51

Kurios ist, dass es bereits Betreiber wie Cloudflare gibt, die anscheinend im Vorfeld über die Sicherheitslücke in Kenntnis gesetzt wurden und schon seit letzter Woche auf einen Patch zugreifen konnten. Pauschal kann man nicht sagen, inwiefern Server, beziehungsweise Dienste wie LastPass angreifbar sind, denn wir wissen nicht, wie der Dienst intern strukturiert ist. Im allerschlimmsten Falle könnten Passwörter und Benutzernamen für gespeicherte Dienste gestohlen worden sein. Ich habe LastPass einmal angeschrieben und ich denke, dass es dazu bald ein Statement gibt. Ob Server anfällig sind, kann auf dieser und dieser Seite getestet werden.

Update: LastPass hat sich geäußert. Kurzform: LastPass ist nach eigenen Aussagen nicht betroffen, da unter anderem Perfect Forward Secrecy eingesetzt wird, ferner können die LastPass Server nicht auf euren verschlüsselten Key zugreifen.

Dennoch: Das Unternehmen teilt mit, dass unzählige Dienste im Web betroffen sind und hier bereits Passwörter abgefischt sein könnten. Diese Passwörter sollte man schleunigst ändern, wenn die Server des Anbieters gepatcht sind. Ein ganz schlechtes Beispiel sind Yahoo und Flickr – da kann fast spielend zugegriffen werden.



Seite 2 von 134123456...Letzte »