"Venom": Sicherheitslücke stuft Heartbleed zu Kinderkram ab

Die Heartbleed-Sicherheitslücke hatte vor einiger Zeit für massives Aufsehen gesorgt. Doch nun ist ein Bug entdeckt worden, der diese noch weit in den Schatten stellen könnte. Denn er bietet versierten Angreifern einen Zugang zu Millionen von ... mehr... Tier, Schlange, Giftschlange Bildquelle: Public Domain Tier, Schlange, Giftschlange Tier, Schlange, Giftschlange Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und was sagt uns das? Die Argumentation von Open Source sei sicherer wie Closed Source ist einfach nicht zu halten!
 
@daaaani: wieso wusste ich, dass so ein peinlicher kommentar an erster stelle ist und das von einem user der ein windows logo als avatar hat und neben windows news nur andere kommentiert zum bashen?

diese behauptungen habe ich noch nirgendwo gelesen, außer hier. das schlimme ist, dass leute die solche news verbreiten auch noch selbst daran glauben.
 
@Mezo: Der Avatar ist von 2007 oder so. Und du solltest mal analysieren wen ich denn so "bashe". Man könnte da auch sagen wie es reinschallt so schallt es auch wieder raus. Das ich selbst zum Troll werde wenn ich mit meiner Art auf diese Antworte ist mir durchaus bewusst. Aber ich bin ja nicht hier um ein schönes Bild meiner selbst zu Zeichnen.

Und zum eigentlichen Thema, bin ich wenn man so will betroffen, da ich nämlich Vbox einsetze. Da laufen in verschiedensten VMs verschiedenste dienste auf die ich von außen zugreife!

Ich nutze also Open Source und Closed Source, und würdest du meine Kommentare wirklich lesen dann wüsstest du das. Die Argumentation OS ist sicherer weil man in den Code schauen kann finde ich nur total daneben. An anderer Stelle im Netz möchte jemand einen der Sichersten Messanger, da end zu end ohne Server, boykottieren nur weil er nicht OS ist.
 
@daaaani: Open Source ist deswegen sicherer, weil theoretisch jeder anschauen kann, ob dieser Lücken enthält, während bei Closed Source das nur die können, die den Fehler/die Lücke verzapft haben. Praktisch ist es aber so, dass nicht jeder rein schaut. Zum einen da nicht jeder Ahnung hat und zum anderen, weil manche Sachen zwar laufen aber wie in diesem Fall kaum noch genutzt werden können. Theoretisch ist diese Sicherheitslücke gigantisch, Praktisch aber nur bedingt. Fakt ist aber: In OS werden Fehler viel schneller gefunden und behoben als in CS. MS, Adobe und Co. haben schon öfter in ihren Produkten Lücken gehabt, die über Jahre, oft auch Jahrzehnt(e) weiter verschleppt wurden. Wieso? Weil sie keiner bis dahin genutzt hat und niemand es prüfen könnte. Das selbe gilt für Heartbleed und Venom. Bis zum bekannt werden gab/gibt es in beiden Fällen keine bekannten Fälle der Ausnutzung. Erst wesentlich später (Heartbleed), als einige Anbieter meinten, die Lücke nutzt keiner aus, muss man also nicht schließen.
Gilt für DOS/Windows, Adobe Produkte, Apples OS und vielen mehr genauso. Nur ist hier oft der Fall... es wird gefunden, ausgenutzt, dann ewig nichts getan, dann wird es erst offen bekannt und dann wird immer noch nichts getan... irgendwann dann schon. Bei OS ist der Druck einfach größer, etwas zu tun und die Chance etwas zu tun gibt es oft, bevor es ausgenutzt werden kann. Unterm Strich ist OS in der Theorie damit um Welten sicherer als CS und in der Praxis führt es auch immer noch klar, auch wenn die Praxis der Theorie hinterher hinken mag.
 
@daaaani: Bei dieser "Sicherheit" ging es um die Intentionen des software-Herstellers. Wenn Microsoft seine Server mit einer backdoor ausstattet ist dies deutlich schwerer zu erkennen als wenn Dir der sourcecode vorliegt. Open source schützt allerdings nicht vor Fehlern im code oder der Konzeption - closed source allerdings genausowenig. Software ist nunmal per se als unsicher zu betrachten, man kann nur versuchen beständig nach Lücken zu suchen und diese dann vor allem schnell zu schliessen.
 
@Stamfy: Um es gleich vorweg zu nehmen:

"Open source schützt allerdings nicht vor Fehlern im code oder der Konzeption - closed source allerdings genausowenig. Software ist nunmal per se als unsicher zu betrachten, man kann nur versuchen beständig nach Lücken zu suchen und diese dann vor allem schnell zu schliessen."

Genau das ist ja meine Aussage nur kürzer und Provokanter formuliert, eben weil sie für diejenigen gedacht ist, die meinen OS wäre sicherer. Und nicht für solche, die es genauso sehen wie du und ich.

"Bei dieser "Sicherheit" ging es um die Intentionen des software-Herstellers. Wenn Microsoft seine Server mit einer backdoor ausstattet ist dies deutlich schwerer zu erkennen als wenn Dir der sourcecode vorliegt."

Nein das ist nicht so. Klar gibt es solche auch, die das meinen. Aber an diesen Vorwurf ändert ja der Artikel nichts. Und ich betrachte es dennoch als sicherer, wenn eine Lücke nur von demjenigen bekannt ist der sie baut und für den, für dem sie gedacht ist. Als wie Lücken die jeder finden kann wenn er denn danach sucht, und die irgendwann innerhalb der nächsten 10 Jahre "vielleicht" mal gestopft werden. Mal davon ab, das überhaupt nicht überprüft wird wer denn Code beisteuert und wie man hier ja auch sieht, auch nicht unbedingt erfasst wird was er macht. Sprich die NSA könnte jederzeit auch in OS backdors einbauen und davon ausgehen, dass er mehrere Jahre unentdeckt bleibt. Was aber nicht notwendig ist da man ja so nach Lücken suchen kann.

Es war eben an solche gerichtet, die auch entgegen Mezos Meinung überall auftauchen, egal ob Winfuture, Golem, Heise oder wie sie noch alle heißen und meinen OS wäre sicherer als CS. Natürlich gibt es auch Microsoft Trolls die an anderer unangebrachten stellen auftauchen. Steht ja außer Frage.

Bestes und aktuellstes Beispiel der Messenger Bleeb. Aufgrund seiner Idee womöglich der sicherste seiner Art, aber weil es CS wird er gleich erstmal als unsicher abgestempelt. So als wäre nur OS sicher, oder als würden diejenigen die ihn deswegen abstempeln, höchstpersönlich den Code durchstöbern um sich ein Bild zu machen. Und das hat mit Microsoft oder NSA gerade garnix zu tun.

Und zu meiner Person ich nutze hier daheime, Owncloud, Cozy Cloud, OX App Suite, Univention Corporate Server und noch vieles mehr was auf meiner NAS mit vom Hersteller modifiziertem Linux (wie fast überall) in VMs von VBox läuft. Und Vbox betrifft unter anderem diese Lücke. Auch wenn ich nicht denke, dass ich ein lohnendes Ziel bin. Aber abwegig ist es nunmal nicht es gab schon Angriffe auf NAS Systemen mit anschließender Erpressung!

Es ist also mitnichten so wie es Mezo mit meiner Person darzustellen versucht.
 
@daaaani:
"Sprich die NSA könnte jederzeit auch in OS backdors einbauen und davon ausgehen, dass er mehrere Jahre unentdeckt bleibt."
Sicherlich möglich, kommt auf das OS-Projekt an. Beim Linux-Kernel würde es vermutlich auffallen, bei Debian oder Ubuntu eher weniger. Bei Microsoft allerdings gar nicht (wenn Apple's Basissystem nicht OS wäre, wäre "goto fail" wohl immer noch drin)...

"Was aber nicht notwendig ist da man ja so nach Lücken suchen kann."
Wenn keiner Lücken in CS suchen kann, wie erklärst du dir dann z.B. den florierenden 0day Markt für Windows Lücken?

"Aufgrund seiner Idee womöglich der sicherste seiner Art, aber weil es CS wird er gleich erstmal als unsicher abgestempelt. So als wäre nur OS sicher, oder als würden diejenigen die ihn deswegen abstempeln, höchstpersönlich den Code durchstöbern um sich ein Bild zu machen."
Die wenigsten würden den Code durchstöbern, allerdings können es dann eben deutlich mehr, als nur der Entwickler selbst, und der müsste ja nichtmal bösartige Absichten gehabt haben, falls die Zufallszahlen gar nicht so zufällig sind...

EDIT: VirtualBox scheint nicht betroffen zu sein...
 
@Overflow: ""Sprich die NSA könnte jederzeit auch in OS backdors einbauen und davon ausgehen, dass er mehrere Jahre unentdeckt bleibt."
Sicherlich möglich, kommt auf das OS-Projekt an. Beim Linux-Kernel würde es vermutlich auffallen, bei Debian oder Ubuntu eher weniger. Bei Microsoft allerdings gar nicht (wenn Apple's Basissystem nicht OS wäre, wäre "goto fail" wohl immer noch drin)..."

Ein Argument welchen gegen ein Argument ist, setzt du wieder gegen das Argument? o.O Natürlich könnte oder kann die NSA in Windows einen Backdoor einbauen lassen und keiner würde es merken. Das ist ja das Ursprungsargument worauf hin ich ja schrieb, dass es bei OS genauso ginge. Wieso kommst du dann wieder auf das Ursprungsargument zurück? o.O Ist doch kindisch!

"Wenn keiner Lücken in CS suchen kann"

Hab ich nie behauptet!

"allerdings können es dann eben deutlich mehr, als nur der Entwickler selbst, und der müsste ja nichtmal bösartige Absichten gehabt haben, falls die Zufallszahlen gar nicht so zufällig sind..."

1. Bei Microsoft sitzt mehr wie nur ein Entwickler

und

2. können ist das eine, es muss aber eben auch gemacht werden. Und genau das passiert eben nicht oder nur sehr selten, weil sich eben immer auf die community verlassen wird. Sozusagen verlässt sich jeder auf jeden aber nur wenige machen es.

"EDIT: VirtualBox scheint nicht betroffen zu sein..."
Wenn sich das bewahrheitet bin ich ja beruhigt. Wobei ich mir ohnehin keine sorgen auf Patsches mache. Wenn eine Lücke bekannt wird, reagiert die OS gemeinte sehr schnell. Und rückwirkend beunruhigt zu sein ist ja so oder so unmöglich. ^^
 
@daaaani: Wie kommst du darauf, das ich dein Ursprungsargument widerlegen wollte? o.O
Überall "OpenSource ist sicherer als Closed Source" rauslesen zu wollen, funktioniert nicht immer...

"Hab ich nie behauptet!"
"Und ich betrachte es dennoch als sicherer, wenn eine Lücke nur von demjenigen bekannt ist der sie baut und für den, für dem sie gedacht ist. Als wie Lücken die jeder finden kann wenn er denn danach sucht"
Das hört sich aber schon so an, als wenn du sagen willst, das bei CS nicht jeder die Lücken finden kann...

"1. Bei Microsoft sitzt mehr wie nur ein Entwickler"
Bleep kommt von Microsoft?
Aber selbst wenn es mehrere Entwickler gibt, heißt es nicht, das diese auch den Code durchprüfen (was natürlich bei OS genauso sein kann, dort können es aber eben nicht nur die Entwickler...)

"2. können ist das eine, es muss aber eben auch gemacht werden. Und genau das passiert eben nicht oder nur sehr selten, weil sich eben immer auf die community verlassen wird. Sozusagen verlässt sich jeder auf jeden aber nur wenige machen es."
Das kann dir bei CS aber eben genauso passieren, und dort bist du dann exklusiv vom Hersteller abhängig. Wenn der es nicht macht, dann bleibt dir nicht mal die Community.
 
@daaaani: Dank opensource konnte der Bug überhaupt von einem externen gefunden werden.
 
@knirps: nach 11 Jahren! Unglaublich sicher!
 
@daaaani: 11 Jahre, gar nicht, 11 Jahre, gar nicht.... 11 Jahre gefällt mir ganz gut.
 
@knirps: Weil bei Closed Source niemand mal ein Review des Codes macht? Oder niemand per Reverse Engineering ein Problem feststellt.

Wie auch hier, der Fehler wurde wohl NICHT durch Lesen des Codes gefunden, sondern durch das Verhalten des Codes und das geht bei Closed Source genauso.

Ich weiß nicht wieviel du schon gecodet hast, aber Fehler nur durch das Lesen von Code zu finden ist extrem schwer. Durch Tests, also das Beobachten des Verhaltens der Software lässt sich ein Problem deutlich schneller feststellen. Der Unterschied zwischen Closed und Open Source liegt dann lediglich darin, dass man bei Open Source die verantwortliche Code Stelle finden kann und bei Closed Source eben nur die Fehlerbeschreibung liefern kann und der Vendor selbst die Codestelle finden muss...
 
@knirps: Unsinn, der bug wurde ebenso wie heartbleed nicht durch code review oder dergleichen gefunden....
 
Also ich weiß nicht, ob ich deshalb die Heartbleed-Lücke in den Schatten stellen würde. Die betroffenen Systeme scheinen mir doch bei Heartbleed umfangreicher zu sein als hier bei den drei genannten Hypervisors.
Wie dem auch sei. Für mich sind solche Sachen Bestätigung, dass offener Quellcode nicht zwingend etwas an der Sicherheit ändert. In den moisten Fällen schaut sich das zum Ersten eh keiner an und zweitens verstehen es die moisten in der Tiefe eh nicht, um die Sicherheitslücken aufzudecken.
 
@Blackspeed: Ist doch im Artikel ganz gut verbildlicht worden.

"Heartbleed lässt einen Feind durch das Fenster eines Hauses gucken und Informationen auf Basis dessen sammeln, was er sieht"
"Venom erlaubt es einer Person aber, in das Haus einzubrechen - und auch in alle anderen Häuser in der Nachbarschaft."

Bei Letzterem ist potenziell gleich die ganze Nachbarschaft mit dran.
 
@crmsnrzl: Naja es ist ein gravierender Unterschied ob ich in eine Million Fenster schauen kann oder nur 3 Nachbarschaften ausrauben kann...
 
@Draco2007: Jedes Fenster ein Einbruch, jede Nachbarschaft ebenfalls ein Einbruch. So sehe ich das. Der Aufwand bei eine Million Nachbarschaften ist geringer als bei einer Million Fenster. Und die Beute ist auch noch größer.
 
@daaaani: naja von der openssl lücke waren wohl deutlich mehr betroffen als von der Geschichte hier...
Deshalb nur 3 Nachbarschaften und eben nicht Millionen....
 
@Draco2007: Bei Heartbleed musste man aber darauf hoffen, zufällig was brauchbares durchs Fenster zu sehen, was für einen eventuellen Einbruch nützlich ist.

Bei Venom bist du bereits im Hausflur und kannst dir überlegen, welcher Nachbar der Nächste ist.
 
Mal wieder bestätigt, OpenSource schützt vor Sicherheitslücken nicht.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen