LastPass mit Heartbleed Prüf-Tool
von caschy | 17 Kommentare
Eine dicker Bug in einer OpenSSL Library erschüttert immer noch das Internet. Heartbleed macht es bei ungepatchten Servern möglich, Inhalte aus einem Speicherbereich auszulesen. Zu diesen Daten können Cookies gehören, aber auch Passwörter und Nutzernamen im Klartext – wie zum Beispiel im Fall von Yahoo. Konkret waren auch die Server des Passwort Managers LastPass betroffen, was im konkreten Fall aber kein Abfischen von unverschlüsselten Nutzerdaten möglich machte, da die Struktur der Server dahingehend abgesichert ist (siehe auch dieser Beitrag).
Das Problem ist halt: Nutzer können ihre Passwörter zwar ändern, was bei nicht gepatchten Server allerdings nur wenig bringen dürfte. LastPass hat nun im Optionsmenü ein Heartbleed-Prüftool integriert. Dieses Tool zeigt an, ob ihr in eurer Datenbank Zugangsdaten von Diensten habt, deren Server betroffen sind, ferner zeigt das Tool an, wann ihr euer Passwort zuletzt geändert habt und wann die Zertifikate des Servers aktualisiert wurden. Sofern die Zertifikate aktualisiert und der Bug behoben ist, weist LastPass darauf hin, die Passwörter zu ändern. Übrigens: auch Google musste eifrig Dienste patchen – und man ist immer noch dabei.
Wird geladen ...
Finde ich aber gut das ein Anbieter die user informiert und mal was zu dem Thema sagt. Das haben wir schon anders erlebt.
jo
Habe eben mail yahoo.com getestet, scheint safe zu sein. Nur bei yahoo.de bekomme ich ein „Something went wrong“.
Hoffe betroffene Serverbetreiber reagieren schnell.
Irgendwie scheint die Testseite nicht 100% zuverlässig. Habe eben eine Seite getestet: „Vulnerable“. Danach neues Fenster, gleiche Domain: „Fixed“ . Kurz später, 2-3x F5 und wieder „Vulnerable“, danach wieder „Fixed“. Jeweils identische URL im Browser. Woher weiß ich nun was stimmt?
@Timo: verschiedene Server mit unterschiedlichen openssl Versionen hinter einem Loadbalancer. Bei dem Aufruf der Seite landest Du immer auf einem anderen Server. Könnte Deine Beschreibung erklären.
p.s.: Ich rate jedem davon ab seine eigenen Server / Webseiten etc. auf irgend einer ‚TestWebsite‘ zu prüfen. Damit erstellt Ihr im worstcase auf dem Server nur eine Liste/Log mit angreifbaren Servern.
Macht es lieber lokal.
@Maximilian: OK, das würde die unterschiedlichen Ergebnisse erklären
Wie kann man das lokal machen? Gibt es dazu eine PHP/HTML-Seite die man lokal im Browser aufrufen kann?
@Timo: gut möglich dass der Server den du testest einfach nicht nur ein Server ist, sondern eine Lastverteilung auf mehrere Server statt findet. Einig gefixt, einige nicht:
@Cashy: den LastPass-Leuten das zu glauben ist schön und gut. Aber glaubwürdig ist das nicht. Dank Heartbleed kann man zufällige Speicherinhalte auslesen. D.h. z.B. auch den Plaintext-Inhalt von POST-Anfragen, die gerade parallel eingehen und verarbeitet werden. Oder den Inhalt von Daten, die gerade im selben Moment raus geschickt werden sollen. Und da kann mit Sicherheit auch mal das ein oder andere Passwort drin stehen.
Ja, auch das kann verhindert werden. Aber nicht mittels Perfect Forward Security. Das verhindert bloß, dass aufgezeichneter Datenverkehr im Nachhinein entschlüsselt wird.
@Lenz: scheint wirklich so zu sein, eben weitere 5x getestet – 3x fixed, 2x vulnerable. Habe den Betreiber mal angeschrieben und um eine Info gebeten, wann alle Server gepatcht werden. Hoffe die Admins dort haben auch schon von Lastverteilung gehört, falls die beim Testen zufällig einen bereits gepatchten erwischen und sagen „Wieso, ist doch alles OK“.
Hatte zwar keine Logins mehr auf LastPass, habe aber vorhin mal meinen Account gelöscht. Benutze ihn ja eh nicht mehr. Aber „lustig“, wie LP auf Ihrer Info-Seite quasi den Leuten raten doch gerade jetzt LP zu benutzen, um sich neue PW zu genrieren. Irgendwie schräg…
Echt zum K****, man traut sich echt kaum noch ins Internet. Man muss überall höllisch aufpassen. Regelmäß Server-Hacks mit DB-Leaks, etc…
Habe gerade noch mal die Infos bei LastPass gelesen – wenn es wirklich stimmt, dass die Passwörter auf dem Endgerät verschlüsselt und erst dann übertragen und nur verschlüsselt gespeichert werden, dann scheint das in Ordnung so zu sein. Dann habe ich nur den Nachtrag im letzten Artikel falsch gelesen.
@Cashy: kannst du da mal aus dem „verschlüsselten“ ein „verschlüsselnden“ machen? 😉
@Timo
Kürzlich gab es auch eine Sendung mit dem Security Researcher Steve Gibson und der äußerte auch dass die Testseiten zum großen Teil nichts taugen. Die sollen viele false positive und false negativ ausspucken. Ich würde mich also nicht auf diese verlassen. Wer sich den Beitrag ansehen möchte in dem es auch recht ausführlich erklärt wird
http://youtu.be/zuVpkzpn7dI?t=44m17s (ab Minute 44 in etwa)
@Timo
Noch als kleine Ergänzung: Probier mal eines der Command Line Tools zum Testen. Die Fehlerrate der Seiten ist wohl teils auch auf deren eigene Überlastung zurückzuführen. Bei mir waren die Ergebnisse dann nicht mehr so sprunghaft.
Hallo zusammen,
dies ist ein Hinweis an alle Synology Besitzer. Bitte unbedingt 5.0-4458 Update 2 einspielen. Dieses Update schliesst auf der Synology den OpenSSl Bug.
Nachzulesen auf http://www.synology.com/en-global/releaseNote/model/DS213j
Für die wenigen die Trillian nutzen, da gabs ein Update zum schließen von der Lücke für die Windows Version:
http://blog.trillian.im/?p=2944
@Lenz Weber: WENN es stimmt, dass LastPass die Passwörter lokal verschlüsselt, dann sind die tatsächlich sicher vor Heartbleed. Denn dann sind die Passwörter ja nie im Klartext im Server-RAM. Und selbst mit der Session-ID sollte ein Angreifer nicht viel anfangen können, im schlimmsten Fall hat er dann die Info, bei welchen Diensten Du angemeldet bist (was natürlich auch gefährlich sein kann)
Trotzdem: ich würde einen solchen Dienst nie nutzen. Es besteht immer die Gefahr, dass Dir ein Angreifer manipulierten Client-Code unterjubelt (sei es nun durch diese Lücke oder eine andere). Und dann kommt er locker an dein Masterpasswort und damit auch an alle anderen.
Was für ein Options-Menü, unter Einstellungen (Chrome plugin und auf deren Seite) finde ich das nicht…
@T.: Schau mal hier:
http://blog.lastpass.com/2014/04/lastpass-now-checks-if-your-sites-are.html
Mein Gott Caschy! Ich suche hier die ganze Zeit WO denn der Test nun zu finden ist – meine Idee war dass ja das Firefox Add-on z.B. noch kein Update bekommen hat … ausserdem was ist denn das Optionsmenü??
Also das hätte man auch etwas genauer erklären können … 🙂
Falls noch jemand sinnlos rumsucht (in meinem Fall ca. 20 min …):
Im verlinkten (zum Glück …) Blog Artikel steht ‚run from the LastPass Icon menu. Click the LastPass icon in the browser toolbar‘ – klingt schon anders. Dort findet sich der Punkt Werkzeuge und dort den Sicherheitstest auswählen (den es dort schon immer gibt!!)
Darüber wird dann die LastPass Security Challenge (nix neues!!) gestartet.
Oder direkt im Browser https://lastpass.com/index.php?securitychallenge=1&lang=de-DE&fromwebsite=1&lpnorefresh=1 aufrufen …
Wie ist denn das eigentlich mit Webseiten, die betroffen sind und wo ich einen Account per Google-Login nutze? Und mit Diensten wo die 2 Faktor-Auth. aktiv ist (Dropbox z.B.)?