SSL-Bug "Heartbleed": Kriminelle schon sehr aktiv

Als die ersten Informationen über die "Heartbleed" genannte Schwachstelle in der OpenSSL-Bibliothek bekannt wurden, begannen nicht nur bei Administratoren, sondern auch bei Kriminellen rege Aktivitäten. mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
was soll man dazu noch sagen? Es grüßen die, die im Regen stehen und dort stehengelassen wurden.
 
Warum wird denn dann so ein Bug erst in aller Öffentlichkeit breitgetreten und vor allem wie man es genau anstellt?
 
@escalator: Wurde es ja nicht, der bug wurde schon vorher vielen Firmen weitergegeben, damit sie sich darum kümmern
 
@escalator: Weil sonst keiner aktiv wird und es fixed.
 
@escalator: Dieser Bug ist schon länger bekannt. Die Leute welche damit Schaden anrichten wissen es meist zuerst. Der Rest ist eher unwichtig.
 
@escalator: ganz einfach, solch ein massiver bug benötigt nachdruck...den schafft man durch öffentliches Interesse. Da geht es nicht mal darum dass openssl ein fix bereitstellt, sondern dass die ganzen anbieter ihr kaputtes openssl austauschen. Glaubst du das wäre nur im Ansatz in der Geschwindigkeit vonstatten gegangen wie es aktuell der Fall ist? Never ever....zumal umso öffentlicher, umso mehr Verantwortliche bekommen davon auch Wind. Wie soll z.B. die ganzen klitschen von solch einem Problem erfahren wenn nicht durch die Öffentlichkeit? Und wie sollen diese Klitschen prüfen ob sie denn tatsächlich handeln sollten? Es spricht eigentlich ncihts gegen die Veröffentlichung von Jahrealten Bugs denn es ist anzunehmen dass diese in dunklen Kanälen eh schon lange(!) gehandelt werden und so lässt sich zumindest dann der schaden schnellstmöglich begrenzen
 
So ein Bug kann doch kein Zufall sein. Ob da wieder die Reichen und Mächtigen im Spiel waren? Opensource wird damit schön in die ****** geritten.
 
@GIGU: blödsinn.. mit closed source wäre der bug sicher auch bekannt geworden nur wäre er nie so schnell gefixt worden. sinnvoller wäre gewesen die hätten den patch zur verfügung gestellt und DANN erst die Massen informiert.
 
@maxerl123: Öhm, klar wäre der ebenfalls so schnell gefixed worden. Wieso auch nicht?! Das OpenSSL Team ist, trotz seiner weiten Verbreitung ein eher winziges Entwicklerteam.
 
@GIGU: Microsoft hat's wahrscheinlich schon ne Weile gewusst, und hat sich's bis zur Pensionierung von Windows XP aufgehoben. Soll ja schließlich keiner auf die Idee kommen,auf Linux umzusteigen ;). Naja mein Ubuntu-System hat jedenfalls noch vergangenen Dienstag ein Update bekommen und ist somit nicht mehr davon betroffen.
 
@pengo: Erklär mal bitte den Zusammenhang. Meines Wissens ist die Microsoft-Implementation NICHT betroffen, also was willst du uns sagen? Dass Microsoft böse ist, weil die diese Lücke nicht eingebaut haben?
 
@DON666: Du Genie, dass Microsoft ne eigene SSL-Implementierung verwendet ist mir schon klar. Das ganze war auch eher als ironische Anspielung darauf gemeint dass die Lücke fast zietgleich mi dem Supportende von Windows XP bekannt wird (was möglicherweise den einen oder anderen XP-User zur Linux-Front treibt statt zu einer neueren Windows-Version). Davon abgesehen spielt das auch gar keine überragende Rolle da unter Windows wie auch jedem anderen Ranzsystem jede Anwendung ihre eigene OpenSSL-Implementierung mitbringen und verwenden kann (theoretisch).
 
@pengo: Microsoft-Produkte haben ihre eigene Implementierung "SChannel". Dementsprechend sind diese nicht betroffen.
 
@GIGU: Natürlich, möglich ist vieles, aber so lange es keine Beweise gibt ist das mit deinen Reichen und Mächtigen doch eher ne willkommene Schutzbehauptung. Sie sorgt dafür, dass Open Source jetzt auch noch als Opfer hingestellt wird und man kann schön daran glauben, weil sich sowohl die Behauptung selber (irgend eine mächtige Organisation ist dafür verantwortlich) als auch das Gegenteil (es war einfach nur ein Programmierfehler) kaum beweisen lassen. Du könntest genauso gut einen Christen und einen Moslem miteinander diskutieren lassen, welcher nun der wahre Gott sei. Fakt ist doch, dass auch in Opensource-Software genauso Fehler stecken wie in proprietärer Software, sonst würde es doch auch nicht für Opensource-Programme regelmäßig Patches geben. Wer selber mal in größeren Sw-Projekten mitgearbeitet hat, der weiß auch, dass das unvermeidlich ist. Klar, Code-Reviews helfen um solche Fehler möglichst früh zu finden und zu beheben, sind aber doch kein Allheilmittel. Firmen mit proprietärer Software haben oft erheblich mehr Ressourcen zur Qualitätssicherung, dafür kann bei Opensource jeder normale Hobbyprogrammierer nach Feierabend aus Interesse nochmal n Blick auf den Code werfen und vielleicht den einen oder anderen Fehler entdecken. Alles Ansätze, die Fehler entdecken und frühzeitig beheben können, aber ganz vermeiden? Natürlich, die Chance gerade bei sicherheitsrelevanten Bereichen ist geringer, weil da eben auch viele Experten draufgucken - aber mit deiner Anschuldigung behauptest du ja, die Chance liegt bei 0,0%, dass in so einem Bereich von Opensource-Software noch ein Fehler sein kann der nicht bewusst eingebaut wurde. Ziemlich gewagte Behauptung, oder? Ich würde mal sagen, selbst wenn die Chance sehr gering ist, sagen wir 0,0001% oder weniger, dass solche Fehler aus Versehen passieren und unentdeckt bleiben - so lange es auch nur minimal > 0 ist, muss man nur oft genug würfeln und irgendwann passiert es eben.
 
@GIGU: Naja der Urheber war ein Student und die Implementierung war Bestandteil seiner Dissertation...glaubst du die Herren Reichen und Mächtigen greifen hierfür auf Studenten zurück?
 
Gut der Bug war ein GAU aber wenn man sich so die ganzen alternativen anschaut, wieso scheinen die alle so völlige kaputt? http://pbs.twimg.com/media/Bk0DY8XCEAAPpS7.png:large - etwas schade dass MS eigene Lösung hier nicht auch mit getesetet wurde
 
Dreiaugenprinzip muss her! Gerade bei so etwas wichtigem wie ssl, sollte Code der nicht mindestens von zwei weiteren Autoren (die dann auch als Autor gelistet sind) gegengecheckt werden, bevor der Code compiliert und veröffentlich wird. OpenSoure ist schön und gut, aber wie man sieht, gibt es wohl doch nicht hunderte Hobbyprogrammierer die in Ihrer Freizeit nichts weiter tun, als open-source code zu kontrollieren.....
 
@bowflow: Du meinst das Vieraugenprinzip? Und der Code ist gereviewed worden, bevor er in OpenSSL übernommen wurde. Dabei ist der Fehler jedoch durchgerutscht.
 
@bowflow: Es gibt mehr als genug Bugs, die auch 30 Leuten durchgerutscht sind.
 
@bowflow: Das "Dreiaugenprinzip" klingt zwar nach Foltermethode, aber wenn du meinst, dass der Code geviewed wird. OpenSSL ist Open Source. Der Code wurde reviewed. Und mehrere Milliarden Menschen hatten die Chance dazu und diese nicht wahr genommen. Alle setzen zwar brav nach "ist ja gratis" Open Source gerne ein. Spendengelder für Vollzeitleute fehlen aber alle hacken dann auf OpenSource herum.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen