Yahoo und Flickr: Server von OpenSSL-Lücke betroffen, Nutzerdaten abfischbar
von caschy | 19 Kommentare
Schlechte Nachrichten gibt es für Nutzer von Yahoo und dem von Yahoo damals übernommenen Foto-Dienst Flickr. Durch die heute morgen bekannt gewordene OpenSSL-Lücke sind unzählige Server im Internet von einer potentiellen Sicherheitslücke betroffen. Das Schlimme: bei Flickr ist dies konkret. Gegen 15:30 Uhr durchgeführte Tests (Werkzeuge finden sich auf GitHub) zeigen: in 13 von 20 Tests ließen sich bei Yahoo-Servern Session Cookies entwenden.
Anmerkung: die Tests wurden nicht von uns durchgeführt, ein an der Thematik interessierter Leser ließ uns seine Erkenntnisse zukommen – wer mag, der kann zusätzlich die Twittersuche bemühen, dort gibt es ebenfalls viele Informationen, auch Screenshots, die Passwörter und Nutzernamen zensiert zeigen. Unschön das Ganze – LastPass hat anscheinend in der Zwischenzeit gepatcht, ob Daten abhanden gekommen sind, wurde noch nicht beantwortet. Höchstwahrscheinlich gibt es noch unzählige Dienste, die ebenfalls so offen sind. Kurzum: das Ganze ist ein GAU.
Wird geladen ...
Wie auch bei G+ schon gefragt: Wie sollte man sich bei dem ganzen Thema als Nutzer nun verhalten?
Wirklich viel unternehmen kann man ja nicht, außer z.B. sich vorerst nicht einzuloggen – wobei das ja auch nicht viel bringt, wenn man kürzlich erst eingeloggt war.
Daten ändern dürfte aktuell auch noch nicht allzu clever sein, erst wenn es dann gepatcht wurde..
Ja, machen kannst du momentan nix….
Wie sieht es aus, wenn ich mich bei Flickr mit meinen Google/Facebook-Account anmelde?
Durch diese Lücke lässt sich der private Schlüssel des SSL-Zertifikats auslesen. Ohne das der Serverbetreiber dies erkennen kann. Man muss davon ausgeben das alle großen Anbieter kompromittiert worden sind.
Wahrscheinlich war diese Lücke Geheimdiensten und Kriminellen schon länger bekannt.
Solange die Serverbetreiber kein neues Zertifikat einrichten und das alte für ungültig erklären, kann vom Anwender ein Man-in-the-Middle Angriff nicht mehr erkannt werden. Der Browser zeigt ein gültiges Zertifikat an.
Außerdem können aufgezeichnete verschlüsselte Datenströme, bei der keine Perfect Forward Secrecy zum Einsatz kam, im Nachhinein entschlüsselt werden.
Dies ist wirklich ein GAU.
Hab meine Server direkt mal geupdatet, hat auch ne ganze 1/4 Minute gedauert, bei größeren Anbietern wird es wohl bisschen länger dauern 🙂 Privat wird es erst blöd wenn der Router openssl einsetzt, oder NAS Software die keinen Packetmanager für das System hat (Qnap, Synology …).
Passwortmanagerdienst im Internet ist ja auch selten dämlich. Irgendwann taucht immer ein Loch auf.
Ich sehe das Problem dahinter nicht ganz. Wie @Kirsch sagte kann dadurch das SSH Zertifikat abhanden kommen. Somit ist eine „Man in the Middel“ Attacke machbar. Und nun weiter?
Dadurch hat ja noch niemand root Zugriff auf dem Server. Wäre also auch mal in der Zeit das ganze so zu erklären das jemand draus kommt anstatt dauernd Panik zu schieben.
Eine kleine FAQ würde sicherlich auch Klicks bringen, lieber @caschy 😉
:@weissertiger2 Du siehst das Problem nicht, dass man mit frei erhältlichen Tools Logins von Yahoo Nutzern abgreifen kann?
@caschy: Nicht falsch verstehen. Ich verstehe das Problem nicht „weil niemand erklärt was das Problem ist“.
Es heisst immer nur:
– Passwörter bedroht!
– Passwörter ändern!
– Server Inhalte betroffen!
– Daten können entwendet werden!
Aber niemand erklärt das „weshalb“. Klar, weil eine Sicherheitslücke in OpenSSL besteht. Aber nun weiter?
Was bewirkt dies genau? Was wird damit nun angestellt? Wie erlangt jemand durch ein SSL Zertifikat Zugriff auf einen Server wie zum Beispiel LassPass?
Mein Verständnis: Ein geklautes SSL Zertifikat ist kein Passwort. Oder irre ich mich da?
Du siehst: Ich versuche das ein wenig zu hinterfragen, finde aber niergends verständliche Informationen.
@weissertiger2
Wenn ich das richtig verstanden habe (http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html) können durch den Bug bis zu 64kb aus dem Ram des Servers ausgelesen werden. Wenn an der mehr oder weniger zufälligen Stelle gerade sensible Daten liegen, z. B. übergebene Parameter eines Webserver Prozesses oder eben auch der private Schlüssel für TLS oder der Inhalt einer php Datei oder was auch immer, dann werden 64kb davon durch OpenSSL einfach so ausgegeben. Versucht man das oft genug, dann bekommt man per Zufall an Dinge, die nie den Server verlassen sollen.
Ein GAU? Mein Gott. Es ist unschön und prinzipiell auch ein mittelschweres Problem, das sich da aufgetan hat. Aber man sollte schon mal ein wenig nachdenken, bevor man sich dermaßen im Vokabular vergreift.
@weissertiger2
Es geht hier im Webserver und nicht um den SSH root-Zugriff.
Durch die Lücke ist es möglich beliebige Daten aus dem Arbeitsspeicher des Webserver-Prozess auszulesen.
Was hat denn der Webserver gerade im Arbeitsspeicher, z. B. Zugangsdaten von Anwender die sich gerade auf der Webseite angemeldet haben, oder der private Schlüssen des SSL-Zertifikat.
@ Kenneth
Da Session-Cookies geklaut werden, ist es egal ob Sie sich via Facebook oder anderweitig anmelden.
@Michael
es sind ja nur alle Server angreifbar die OpenSSL einsetzen -> im Prinzip mit wenig Aufwand Hackbar. Sollten nur so 70-80% aller Linux Server sein + Router + Linux allgemein + Android etc … also nicht wirklich schlimm ….
Wieso hat mich das eigentlich nicht überrascht, dass gerade Yahoo davon betroffen ist? Achja, könnte an den Dauerpannen von Dezember bis heute liegen… 😀
Wird mehr und mehr deutlich, dass die Entscheidung, von dort wegzugehen, meine beste seit langem war. Ich frag mich ja wirklich, wann die werten Leute dort mal gedenken, ihre Technik wieder halbwegs in den Griff zu bekommen. Von Marissa Mayers „We can and we will do better in the future“ nach dem ersten E-Mail-Desaster merke ich da noch nicht wirklich viel. 😉
@weissertiger2
Das Problem ist, dass man durch Glück ggf. an den privaten Schlüssel des SSL-Zertifikats kommt. Sollte dies geschehen, kann jeder versuchen die Kommunikation zwischen dir und dem Server des Anbieters mitlesen, d.h. man könnte z.B. dein Passwort auslesen. Im Prinzip ist es so als auf du dich nicht über https sondern über http anmeldest.
Soweit mein Verständnis von dem Problem.
Sollte man nicht an das Zertifikat kommen, so kann man z.B. per Zufall versuchen an die Passwörter der derzeitig angemeldeten Benutzer zu gelangen in dem man sehr lange und sehr oft versucht den Speicher des Anbieters auszulesen.
@DonBoskopp @Kirsch @Alex Meier (hoffe ich hab niemanden vergessen):
Vielen dank für die Erklärung. Die Tatsache das man Daten aus dem RAM abgreifen kann (wenn auch wenig, was aber ausreicht) hab ich irgendwie nicht ganz mitbekommen.
Das ändert natürlich auch meinen Standpunkt.
Auch von mir ein Dankeschön an die ErklärBären!
Gemäss der Testseite ist Mail.yahoo.de, https://Mail.yahoo.de sowie beide ohne „Mail“ OK. Eventuell hat Yahoo schnell reagiert und gepatcht?