LastPass-Server von OpenSSL-Lücke betroffen

8. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Kurz notiert: ich möchte hier niemanden in Panik versetzen, der auf den Passwort Manager LastPass setzt, aber zur Stunde sieht es so aus, als sei der Dienst, bzw. der Server anfällig für die bekannt gewordene OpenSSL-Sicherheitslücke, Überprüfungen des Servers haben ergeben, dass dort immer noch nicht die aktuelle OpenSSL-Version eingesetzt wird.

Bildschirmfoto 2014-04-08 um 12.38.51

Kurios ist, dass es bereits Betreiber wie Cloudflare gibt, die anscheinend im Vorfeld über die Sicherheitslücke in Kenntnis gesetzt wurden und schon seit letzter Woche auf einen Patch zugreifen konnten. Pauschal kann man nicht sagen, inwiefern Server, beziehungsweise Dienste wie LastPass angreifbar sind, denn wir wissen nicht, wie der Dienst intern strukturiert ist. Im allerschlimmsten Falle könnten Passwörter und Benutzernamen für gespeicherte Dienste gestohlen worden sein. Ich habe LastPass einmal angeschrieben und ich denke, dass es dazu bald ein Statement gibt. Ob Server anfällig sind, kann auf dieser und dieser Seite getestet werden.

Update: LastPass hat sich geäußert. Kurzform: LastPass ist nach eigenen Aussagen nicht betroffen, da unter anderem Perfect Forward Secrecy eingesetzt wird, ferner können die LastPass Server nicht auf euren verschlüsselten Key zugreifen.

Dennoch: Das Unternehmen teilt mit, dass unzählige Dienste im Web betroffen sind und hier bereits Passwörter abgefischt sein könnten. Diese Passwörter sollte man schleunigst ändern, wenn die Server des Anbieters gepatcht sind. Ein ganz schlechtes Beispiel sind Yahoo und Flickr – da kann fast spielend zugegriffen werden.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16518 Artikel geschrieben.


49 Kommentare

de_noogle 8. April 2014 um 12:45 Uhr

Ich glaube, ich ziehe mich einfach aus dem Internet zurück. Sollte LastPass jemals einen Datendiebstahl vermelden, bin ich raus.

Thorsten 8. April 2014 um 12:46 Uhr

@cashy, mit dieser Meldung versetzt Du eine ganze Menge Leute in Panik….hoffentlich fixen die das bald! :-(

@de_noogle

Der Gedanke verfestigt sich auch immer mehr bei bestimmt nicht wenigen……

Ben 8. April 2014 um 12:50 Uhr

Darum würde ich nie einen Online Service für die Speicherung von Passwörtern nutzen. Egal was die behaupten, es gibt immer irgendwo Sicherheitsprobleme

Matze 8. April 2014 um 12:54 Uhr

Ab in die Cloud… haben sie gesagt…

mini 8. April 2014 um 12:54 Uhr

@de_noogle:
Lastpass hatte bereits 2008 einen Fall, wo Passwörter und co. gestohlen worden sind. siehe Google.de

caschy 8. April 2014 um 13:03 Uhr

Session Cookies kann man von LP schon einmal bekommen, unterhalte mich gerade parallel mit jemandem, der sich das “anschaut”.

Titanic 8. April 2014 um 13:10 Uhr

…ich glaube, bei diesem “Bug” kann man, was seine Bedeutung und sein Ausmaß angeht, kaum übertreiben; er erschüttert die Grundlagen der Netz-Sicherheitsarchitektur für einen riesigen Teil (1/3-1/2) des Netzes (klingt emotional ist aber sachlich gemeint).
So wie ich die einschlägigen Sec.Posts verstehe kann sich kaum jemand in der näheren Zukunft sicher sein, dass seine Daten/Dienste/Apps nicht kompromittiert werden, zukünftig und/oder rückwirkend!).
Der Fehler kann einfach so zentrale Stellen der zertifikatsbasierten Sicherheitsarchitektur betreffen, dass der Fehler erst dann keine Auswirkungen mehr haben kann (jedenfalls für zukünftigen Traffic, für die Vergangenheit ist ohne PFS eh nichts mehr zu retten), wenn alle Betroffenen Dienste/Unternehmen handeln, an vielen Stellen – und das kann dauern :/.

http://security.stackexchange.com/questions/55075/does-heartbleed-mean-new-certificates-for-every-ssl-server

Mendes 8. April 2014 um 13:11 Uhr

Was heißt das nun? Alle Passwörter im LastPass löschen und bei LastPass abmelden? Bzw. das Konto löschen. Also ich finde das ganz schön beunruhigend….:(

5hay 8. April 2014 um 13:20 Uhr

Sorry.. Cloud schön und gut, aber wer wirklich seine ganzen Passwörter in die Hand von einem Unternehmen gibt, dem kann echt nicht mehr geholfen werden. Ich hoffe sogar, dass es zu einem Leck gekommen ist, damit die Leute endlich mal aufwachen….

DancingBallmer 8. April 2014 um 13:22 Uhr

Bin kein Profi, aber nach meinem Verständnis kann man durch die Sicherheitslücke in SSL mit jedem Angriff 64kb des Arbeitsspeichers des Servers auslesen. Dabei sind diese Angriffe nicht nachweisbar, weswegen golem auch empfiehlt alle Zertifikate nach dem Update zu aktualisieren. Sind im Arbeitsspeicher irgendwelche Informationen drin, welche Zugriff auf den Server und speziell auf die Accounts erlaubt, z.B. die dafür notwendigen Passwörter, dann kann man logischerweise mit diesen Daten auch auf die Accounts und Server zugreifen. Da derzeit keiner weiß wie lange die Sicherhitslücke schon in manchen Kreisen bekannt war, weiß auch keiner seit wann diese Lücke ausgenutzt wird. Manche Dinge gehören einfach nicht ins Netz!

robertfreudenreich 8. April 2014 um 13:24 Uhr

Trotz Heartbleed sollte die Vertraulichkeit der Passwörter bei Lastpass sicher sein. Lastpass setzt auf lokale Verschlüsselung der Daten mit dem Master-Passwort auf dem PC des Nutzers bevor die verschlüsselten Daten dann per SSL zu deren Server übertragen werden. D.h. selbst wenn ein Angreifer durch Heartbleed die SSL-Verbindung belauschen kann (oder die Session klauen kann), kann er damit nur auf die Master-Passwort verschlüsselten Daten zugreifen. Deren Sicherheit steht und fällt dann mit der Stärke des Master-Passworts (was aber auch so der Fall ist).

Im “Prinzip” könnte Lastpass die Daten auch im Klartext per HTTP ohne SSL Verschlüsselung verschicken und trotzdem wäre die Vertraulichkeit der Passwörter sichergestellt. (Tun sollte man das aber natürlich trotzdem nicht.)

HO 8. April 2014 um 13:25 Uhr

Hoffentlich passiert das nicht irgendwann bei 1Password.

@shay
die alternative sieht aber leider oft so aus, dass viele leute in der notiz-app auf dem smartapp völlig ungeschützt sämtliche passwörter notiert haben, oder noch besser im portmonee einen zettel mit den wichtigsten pin-nummern, zb. für die ec-karte. da finde ich es aber wesentlich sicherer die daten einem (guten) passwort-dienst anzuvertrauen.

weissertiger2 8. April 2014 um 13:26 Uhr

Laut dem Test http://filippo.io/Heartbleed/ ist auch yahoo.com betroffen.

Jim-Phelps 8. April 2014 um 13:26 Uhr

gmx.de und web.de sind beide von der Schwachstelle betroffen
EMAIL MADE IN GERMANY

5hay 8. April 2014 um 13:31 Uhr

@Ho
wie wäre es mit KeepassX? Man muss zwar ein wenig mehr Aufwand betreiben, wenn man die Passwort-Datei nicht über die Cloud synchronisiert haben möchte, aber der Aufwand sollte es einem Wert sein mMn.

Timo 8. April 2014 um 13:34 Uhr

Bin ich froh, dass ich gespeicherte Passwörter bei LastPass längst gelöscht und danach alle geändert habe. Waren aber auch nicht wirklich wichtige dort gespeichert. Meine PW sind in einer KeePass Datenbank mit PW gespeichert. Eine Kopie liegt in einem PW-geschützten 7Z File bei Wuala, welche die Datei vor dem Hochladen auch lokal mit Master-PW verschlüsseln. Diese 3 Stufen sollten ausreichen denke ich.

Oliver K. 8. April 2014 um 13:35 Uhr

Das Schlimme an 1Password ist eher, dass man für einen funktionierenden Sync aller Geräte untereinander (OS X + iOS) gezwungen ist, Dropbox zu verwenden… Man kann die Daten da nicht auf einer NAS ablegen und gegen diese Syncen. Und auch das iPhone kann nicht als Transportdongle, da es Attachments nicht erhält.

Sebastian 8. April 2014 um 13:39 Uhr

Komisch, habe gerade meinen Raspberry PI geupdated, und trotzdem ist lt. der Testseite die Sicherheitslücke weiterhin vorhanden.
Gibt es irgendwas, was man da beachten muss?

hp 8. April 2014 um 13:39 Uhr

vielleicht lernen caschy und co. ja jetzt das man nicht jeden scheiß für ein paar cent und klicks bewerben muss. wie ich bereits gestern schrieb..von einem technikblog erwarte ich technisches hintergrundwissen, dass leute die nicht so viel ahnung von technik haben eher an die hand genommen und vor potentiellen gefahren bewahrt werden, statt auf solche services aufmerksam gemacht werden ohne das denen mal jemand sagt wie gefährlich so ein service für den user sein kann…

ich finde es schlimm wie hier oft von euch gegen whatsapp und co. gewettert wurde und im gleichen atemzug sagt man den leuten “seht mal hier, da könnt ihr alle eure passwörter speichern”…

natürlich kann so ein “datendiebstahl” jeden dienst treffen, aber hier oder anderswo werbung für einen dienst zu machen, der einem potentiellen dieb ermöglicht ohne großen aufwand ne menge daten und benutzerkonten abzugreifen ist höchst fahrlässig! bitte keine argumente wie “der blog richtet sich ja aber eben an technikinteressierte”…denn dabei sollte man bedenken, dass technikinteressiert nicht immer heißt, dass man sich mit der technik auskennt, sondern das man sich darüber informieren will..

mir ist egal wie die kritik aufgefasst wird. sie ist in jedem fall konstruktiv gemeint. vielleicht mal ein paar artikel über die gefahren im internet und den richtigen umgang mit diensten und der hinweis, dass man keinen dienst nutzen sollte, der sich mit anderen diensten verknüpft, da dies wie in diesem fall bedeuten kann, dass mit einem hack mehrere benutzerkonten ergattert werden können…

HO 8. April 2014 um 13:42 Uhr

@5hay
klar, wenn man ein problem mit der cloud hat und das gut funktioniert auf lokaler basis. aber ich bin froh dass mir mein 1password jederzeit über die cloud zur verfügung steht und dort gesichert wird ohne dass ich was tun muss. wenn im schlimmsten fall die daten geklaut werden, dann ist das natürlich ein großes problem, aber nur mit den pins meiner ec-karten können die zum glück nichts anfangen.

hp 8. April 2014 um 13:48 Uhr

@ho…es man ein horrorszenario sein, aber stelle dir mal vor, dass dies alles nur der anfang ist und die kriminellen ihre finger still halten, bis sie alles mögliche an daten abgegriffen haben, was sie brauchen um z.b. das bankensystem auseinanderbrechen zu lassen, indem sie in sämtliche systeme einbrechen und wenn dann dein benutzername noch mit deinem realnamen abgleichbar ist, etc.pp hätten die alles was sie brauchen um dein benutzerkonto leerzuräumen..natürlich haben banken viel höhere auflagen was den datenschutz angeht, aber hast du mal überprüft ob diese standards eingehalten werden? irgendwelche bwl-studenten werden das ein oder andere sicherheitssystem schon abgeschafft haben, weil sie dem chef erzählen, dass finanzieller aufwand und nutzen sich nicht aufwiegen..das ist doch die heutige gesellschaft, egal ob krankenkasse oder sonstwas..irgendwo sitzen kleine bwl-idiote die vom realen leben und den umständen der menschen null ahnung haben und sachverhalte nur anhand von zahlen bewerten…

besucherpete 8. April 2014 um 14:18 Uhr

@hp: Welchen Dienst meinst Du denn, der “einem potentiellen dieb ermöglicht ohne großen aufwand ne menge daten und benutzerkonten abzugreifen”? Und welchen Dienst würdest Du stattdessen empfehlen? Wenn man das so liest, könnte man meinen, jeder dahergelaufene Fritze könnte einfach so auf x-beliebige Daten auf x-beliebigen Servern zugreifen. Das ist mal ‘ne Panikmache, die nun wirklich mal gar nicht hilfreich ist. Und letztlich muss eben jeder für sich abwägen, welches Risiko er bereit ist einzugehen, um seinen Alltag angenehmer zu gestalten. Ich für meinen Teil möchte auf “die Cloud” jedenfalls nicht mehr verzichten, aber ich habe auch kein Problem damit, dass andere Nutzer das anders sehen.

Karl Karass 8. April 2014 um 14:22 Uhr

Echte Profis, eben auch meine Wenigkeit, warnen seit Jahren vor diesem Cloudwahn. Jetzt bezahlt ihr den Preis dafür nicht auf uns gehört zu haben. Passwordsafe von Schneier ist noch immer das offline-tool schlechthin.

Christoph 8. April 2014 um 14:28 Uhr

Oh man, Leute. Das Internet geht nicht mehr weg. Selbst wer seine Passwörter nicht einem Cloud-Service anvertraut, läuft Gefahr, dass sein Rechner ausspioniert wird. Was ist denn die Alternative? Stecker ziehen? Der Nutzen eines Dienstes wie lastpass.com, nämlich dass man starke Passwörter verwenden kann, überwiegt m.E. ganz klar die Gefahren. Man muss eben aufmerksam und sicherheitsbewusst damit umgehen. Wer sich sein PW für Lastpass auf die Festplatte im Klartext speichert ist selber schuld.

Andreas 8. April 2014 um 14:36 Uhr

Gut, dass wir hier auch ein paar echte Profis haben, die uns sagen, wie die Welt funktioniert… Warten wir mal ab, was passiert!

Günxmürfel 8. April 2014 um 14:48 Uhr

Wie schon weiter oben von robertfreudenreich erklärt sollte die Sicherheit der Kennwörter trotzdem gewährleistet sein, da der Container lokal ver- und entschlüsselt wird. Per SSL wird nur der bereits verschlüsselte Container übertragen, vergleichbar mit einem auf Dropbox abgelegten Keepass Container.

Fabian Jackl (fabi280) 8. April 2014 um 14:53 Uhr

Lastpass hat es mittlerweile gefixt…

Soulfly999 8. April 2014 um 14:55 Uhr

Naja aktuell ist ja noch nichts geklaut worden. Ich nutze auch Lastpass für die normalen einfachen Dinge außer was mit Banken zu tun hat. Beinhaltet natürlich auch Logins von Shops.
Ist immerhin noch besser als es NUR im Browser + Cookie zu speichern und das wird garantiert noch die Masse machen.

Ich bin mir der Gefahr bewusst und nutze das auch nur für bestimmte Dinge aber es gibt auch eine Grenze zwischen Komfort und Nutzbarkeit.
Wenn es danach geht sollte man sich alles am besten mit einem Zettel und Stift notieren und selbst der kann geklaut werden.

Frank Koehntopp (@koehntopp) 8. April 2014 um 15:12 Uhr

Ich möchte kurz darauf hinweisen dass es nicht wirklich eine gute Idee ist das jetzt überall auszuprobieren, der eine oder andere Server-Anbieter könnte das als empfindliche Störung betrachten:

http://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten

http://www.internetrecht-rostock.de/hackerparagraf.htm

Friedhelm Czislik (@superfernsehen) 8. April 2014 um 15:21 Uhr

Interessante News. Ich gehe davon aus, daß das nun recht zügig gefixt wird. In Panik gerate ich als LastPass-Nutzer deswegen jedoch nicht. Da scheint mir das ganze Angriffsszenario doch zu akademisch zu sein.

besucherpete 8. April 2014 um 15:58 Uhr

Wo ist eigentlich in diesem Fall die viel gelobte und oft hervorgehobene Sicherheit von quelloffener Software? Ich selber konnte noch nie nachvollziehen, dass so viele davon überzeugt sind, dass “Opensource” gleichzusetzen ist mit “besonders sicher”. Ja, der Quellcode kann von jedem eingesehen werden – aber vielleicht ist auch genau das ein Problem, insbesondere bei sicherheitsrelevanten Projekten.

Manuel 8. April 2014 um 16:01 Uhr

Scheint soeben gepatcht worden zu sein:
Looking for TLS extensions on https://lastpass.com

ext 65281 (renegotiation info, length=1)
ext 00011 (EC point formats, length=4)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <– Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

Die Frage ist nur, konnten Daten abgezogen werden oder nicht

Soulfly999 8. April 2014 um 16:30 Uhr

Witzigerweise hatte ich vor 3 Stunden, dass im lastpass Forum geschrieben.

Seltsamerweise tauchte mein Threat nirgends auf. Ist wohl schlechte Werbung. :)
Naja egal hauptsache gefixt. Hoffe es wurden keine Daten geklaut. Gibt es irgendwo ein offizielles Statement von Lastpass?

caschy 8. April 2014 um 17:03 Uhr

@peter: das ist von eben!

Konstantin 8. April 2014 um 17:11 Uhr

und Zack is Lastpass schon nicht mehr “vulnerable” – ist ja irgendwie komisch…

Fabian Jackl (fabi280) 8. April 2014 um 18:18 Uhr

Genial dass euch das jetzt auch allen auffällt. Andere Kommentare liest ihr euch ja nicht wirklich durch. Ich schrieb um 14:53 bereits, dass es gefixt ist.

Niranda 8. April 2014 um 18:57 Uhr

1passwort im truecrypt container, gesynct via BTsync (Lan-Modus) im openVPN Netzwerk und Backup auf Raid5 System ftw :)

hp 9. April 2014 um 09:44 Uhr

der beste “safe” für passwörter ist das gehirn…eselsbrücken bauen und gut ist…

wie dem auch sei..jedem das seine…

speichert ruhig alles in der cloud…im übrigen gibt es tools, die eure ssl verschlüsselten daten entschlüsseln…alles ist mathematik und der, welcher mathematische formeln schnell und sicher lösen kann, der kann auch aus einem einem hash-wert eurer passwort errechnen…es muss nur die logik hinter dem ganzen geknackt werden…

2 faktor-authentifizierung? der einzige dem dies nützt ist der jeweilige anbieter, weil er so sicher gehen kann, dass er eine real existierende rufnummer von dir besitzt…in den meisten fällen kann man dann über provider rausfinden, wer sich hinter der nummer verbirgt (natürlich vom gesetz her verboten, aber nennt mir ein großunternehmen, welches sich an gesetze hält!)…..genauso schlimm wie fremail-anbieter oder generell email-anbieter die von dir eine fremd-email wollen, damit du dann über einen link in der mail deine identität bestätigst…es ist nicht erst seit facebook so, dass die unternehmen deine daten sammeln und verkaufen…woraus resultierte denn die erste spamwelle? richtig, die benutzerdaten wurden von firma a an firma b verkauft, die diese letztlich an die noch unseriösere firma c verkauft hat..solange der preis stimmt, machen die meisten menschen halt alles!

Harry 11. April 2014 um 12:20 Uhr

@hp
Sag mal aus welchen hohlen Ast pfeifst du eigentlich heraus? Wohl zuviel Science-Fiction Filme angeschaut und davon Paranoia bekommen oder in der heißen Badewanne ausgerutscht? Am besten ist du gehst in den tiefsten Keller wo du findest und mauerst noch von innen Fenster und Türen zu.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.