LastPass-Server von OpenSSL-Lücke betroffen
von caschy | 48 Kommentare
Kurz notiert: ich möchte hier niemanden in Panik versetzen, der auf den Passwort Manager LastPass setzt, aber zur Stunde sieht es so aus, als sei der Dienst, bzw. der Server anfällig für die bekannt gewordene OpenSSL-Sicherheitslücke, Überprüfungen des Servers haben ergeben, dass dort immer noch nicht die aktuelle OpenSSL-Version eingesetzt wird.
Kurios ist, dass es bereits Betreiber wie Cloudflare gibt, die anscheinend im Vorfeld über die Sicherheitslücke in Kenntnis gesetzt wurden und schon seit letzter Woche auf einen Patch zugreifen konnten. Pauschal kann man nicht sagen, inwiefern Server, beziehungsweise Dienste wie LastPass angreifbar sind, denn wir wissen nicht, wie der Dienst intern strukturiert ist. Im allerschlimmsten Falle könnten Passwörter und Benutzernamen für gespeicherte Dienste gestohlen worden sein. Ich habe LastPass einmal angeschrieben und ich denke, dass es dazu bald ein Statement gibt. Ob Server anfällig sind, kann auf dieser und dieser Seite getestet werden.
Update: LastPass hat sich geäußert. Kurzform: LastPass ist nach eigenen Aussagen nicht betroffen, da unter anderem Perfect Forward Secrecy eingesetzt wird, ferner können die LastPass Server nicht auf euren verschlüsselten Key zugreifen.
Dennoch: Das Unternehmen teilt mit, dass unzählige Dienste im Web betroffen sind und hier bereits Passwörter abgefischt sein könnten. Diese Passwörter sollte man schleunigst ändern, wenn die Server des Anbieters gepatcht sind. Ein ganz schlechtes Beispiel sind Yahoo und Flickr – da kann fast spielend zugegriffen werden.
Wird geladen ...
@ho…es man ein horrorszenario sein, aber stelle dir mal vor, dass dies alles nur der anfang ist und die kriminellen ihre finger still halten, bis sie alles mögliche an daten abgegriffen haben, was sie brauchen um z.b. das bankensystem auseinanderbrechen zu lassen, indem sie in sämtliche systeme einbrechen und wenn dann dein benutzername noch mit deinem realnamen abgleichbar ist, etc.pp hätten die alles was sie brauchen um dein benutzerkonto leerzuräumen..natürlich haben banken viel höhere auflagen was den datenschutz angeht, aber hast du mal überprüft ob diese standards eingehalten werden? irgendwelche bwl-studenten werden das ein oder andere sicherheitssystem schon abgeschafft haben, weil sie dem chef erzählen, dass finanzieller aufwand und nutzen sich nicht aufwiegen..das ist doch die heutige gesellschaft, egal ob krankenkasse oder sonstwas..irgendwo sitzen kleine bwl-idiote die vom realen leben und den umständen der menschen null ahnung haben und sachverhalte nur anhand von zahlen bewerten…
@hp: Welchen Dienst meinst Du denn, der „einem potentiellen dieb ermöglicht ohne großen aufwand ne menge daten und benutzerkonten abzugreifen“? Und welchen Dienst würdest Du stattdessen empfehlen? Wenn man das so liest, könnte man meinen, jeder dahergelaufene Fritze könnte einfach so auf x-beliebige Daten auf x-beliebigen Servern zugreifen. Das ist mal ’ne Panikmache, die nun wirklich mal gar nicht hilfreich ist. Und letztlich muss eben jeder für sich abwägen, welches Risiko er bereit ist einzugehen, um seinen Alltag angenehmer zu gestalten. Ich für meinen Teil möchte auf „die Cloud“ jedenfalls nicht mehr verzichten, aber ich habe auch kein Problem damit, dass andere Nutzer das anders sehen.
Echte Profis, eben auch meine Wenigkeit, warnen seit Jahren vor diesem Cloudwahn. Jetzt bezahlt ihr den Preis dafür nicht auf uns gehört zu haben. Passwordsafe von Schneier ist noch immer das offline-tool schlechthin.
Oh man, Leute. Das Internet geht nicht mehr weg. Selbst wer seine Passwörter nicht einem Cloud-Service anvertraut, läuft Gefahr, dass sein Rechner ausspioniert wird. Was ist denn die Alternative? Stecker ziehen? Der Nutzen eines Dienstes wie lastpass.com, nämlich dass man starke Passwörter verwenden kann, überwiegt m.E. ganz klar die Gefahren. Man muss eben aufmerksam und sicherheitsbewusst damit umgehen. Wer sich sein PW für Lastpass auf die Festplatte im Klartext speichert ist selber schuld.
Gut, dass wir hier auch ein paar echte Profis haben, die uns sagen, wie die Welt funktioniert… Warten wir mal ab, was passiert!
Wie schon weiter oben von robertfreudenreich erklärt sollte die Sicherheit der Kennwörter trotzdem gewährleistet sein, da der Container lokal ver- und entschlüsselt wird. Per SSL wird nur der bereits verschlüsselte Container übertragen, vergleichbar mit einem auf Dropbox abgelegten Keepass Container.
Lastpass hat es mittlerweile gefixt…
Naja aktuell ist ja noch nichts geklaut worden. Ich nutze auch Lastpass für die normalen einfachen Dinge außer was mit Banken zu tun hat. Beinhaltet natürlich auch Logins von Shops.
Ist immerhin noch besser als es NUR im Browser + Cookie zu speichern und das wird garantiert noch die Masse machen.
Ich bin mir der Gefahr bewusst und nutze das auch nur für bestimmte Dinge aber es gibt auch eine Grenze zwischen Komfort und Nutzbarkeit.
Wenn es danach geht sollte man sich alles am besten mit einem Zettel und Stift notieren und selbst der kann geklaut werden.
Ich möchte kurz darauf hinweisen dass es nicht wirklich eine gute Idee ist das jetzt überall auszuprobieren, der eine oder andere Server-Anbieter könnte das als empfindliche Störung betrachten:
http://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten
http://www.internetrecht-rostock.de/hackerparagraf.htm
Interessante News. Ich gehe davon aus, daß das nun recht zügig gefixt wird. In Panik gerate ich als LastPass-Nutzer deswegen jedoch nicht. Da scheint mir das ganze Angriffsszenario doch zu akademisch zu sein.
Wo ist eigentlich in diesem Fall die viel gelobte und oft hervorgehobene Sicherheit von quelloffener Software? Ich selber konnte noch nie nachvollziehen, dass so viele davon überzeugt sind, dass „Opensource“ gleichzusetzen ist mit „besonders sicher“. Ja, der Quellcode kann von jedem eingesehen werden – aber vielleicht ist auch genau das ein Problem, insbesondere bei sicherheitsrelevanten Projekten.
Scheint soeben gepatcht worden zu sein:
Looking for TLS extensions on https://lastpass.com
ext 65281 (renegotiation info, length=1)
ext 00011 (EC point formats, length=4)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <– Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.
Die Frage ist nur, konnten Daten abgezogen werden oder nicht
Witzigerweise hatte ich vor 3 Stunden, dass im lastpass Forum geschrieben.
Seltsamerweise tauchte mein Threat nirgends auf. Ist wohl schlechte Werbung. 🙂
Naja egal hauptsache gefixt. Hoffe es wurden keine Daten geklaut. Gibt es irgendwo ein offizielles Statement von Lastpass?
http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html
Lastpass schrieb letzte Woche schon dazu:
http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html
@peter: das ist von eben!
und Zack is Lastpass schon nicht mehr „vulnerable“ – ist ja irgendwie komisch…
Genial dass euch das jetzt auch allen auffällt. Andere Kommentare liest ihr euch ja nicht wirklich durch. Ich schrieb um 14:53 bereits, dass es gefixt ist.
1passwort im truecrypt container, gesynct via BTsync (Lan-Modus) im openVPN Netzwerk und Backup auf Raid5 System ftw 🙂
der beste „safe“ für passwörter ist das gehirn…eselsbrücken bauen und gut ist…
wie dem auch sei..jedem das seine…
speichert ruhig alles in der cloud…im übrigen gibt es tools, die eure ssl verschlüsselten daten entschlüsseln…alles ist mathematik und der, welcher mathematische formeln schnell und sicher lösen kann, der kann auch aus einem einem hash-wert eurer passwort errechnen…es muss nur die logik hinter dem ganzen geknackt werden…
2 faktor-authentifizierung? der einzige dem dies nützt ist der jeweilige anbieter, weil er so sicher gehen kann, dass er eine real existierende rufnummer von dir besitzt…in den meisten fällen kann man dann über provider rausfinden, wer sich hinter der nummer verbirgt (natürlich vom gesetz her verboten, aber nennt mir ein großunternehmen, welches sich an gesetze hält!)…..genauso schlimm wie fremail-anbieter oder generell email-anbieter die von dir eine fremd-email wollen, damit du dann über einen link in der mail deine identität bestätigst…es ist nicht erst seit facebook so, dass die unternehmen deine daten sammeln und verkaufen…woraus resultierte denn die erste spamwelle? richtig, die benutzerdaten wurden von firma a an firma b verkauft, die diese letztlich an die noch unseriösere firma c verkauft hat..solange der preis stimmt, machen die meisten menschen halt alles!