Heartbleed & Flash Player

[Koolboy]

Hallo zusammen! Ich weiss nicht, inwiefern ihr da bereits was gelesen habt in den Medien oder andersweitig erfahren habt, aber ich finde dies ein wichtiges Thema und möchte euch hiermit informieren & warnen.

Heartbleed

Vor wenigen Tagen entdeckten Sicherheitsexperten des Fox-IT Konzerns eine Lücke im Verschlüsselungsdienst OpenSSL. OpenSSL ist ein Baukasten für das Sicherheitsprotokoll SSL. Da OpenSSL kostenlos ist wird der Baukasten von sehr vielen Websiten und anderen Internetdiensten verwendet. Laut Daten der Statistikfirma Netcraft ist Heartbeat auf fast 18 Prozent aller Webserver aktiv, die SSL nutzen. Das Unternehmen sieht etwa eine halbe Million Webseiten-Zertifikate in Gefahr. Die Zahl könnte sogar noch höher sein, da Netcraft nur Webserver untersucht hat. Es können aber auch Mailserver und Co. anfällig sein.

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmässig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heisst die Funktion «Heartbeat», Herzschlag.

Wie kann die Schwachstelle ausgenutzt werden?
Doch Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler «Heartbleed», weil er Informationen «ausblutet».

Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann eigentlich sichere Kommunikation mitlesen. Kriminelle könnten sich auch für eine andere Webseite ausgeben, etwa für die einer Bank. Das Problem: Ein solcher Missbrauch oder Angriff ist kaum bemerkbar.

Es waren 628 der meistbesuchten Seiten anfällig oder sind es immernoch. Besonders aufgepasst werden muss bei Servern, die beispielsweise für Smartphone-Apps, Chatdienste, Cloud-Speicher, Streaming-Dienste, Mail-Dienste oder OpenVPN-Zugänge genutzt werden. Auch Netzwerkgeräte wie Router und Switches sind anfällig. OpenSSL 1.0.1g ist die erste Version, in welcher die Lücke beseitigt wurde. Als User kann man nicht viel machen, ausser man verzichte auf sämtliche heiklen Transaktionen im Internet bis die jeweiligen Dienstleister die Lücke beseitigt hätten. So dumm es nun auch klingen mag, aber das einzige was ihr jetzt tun könnt, ist warten bis die Betreiber ihre Dienste auf die neueste Version geupdated haben. Danach solltet ihr schnellstmöglich euer Passwort ändern. Dies würde im Moment aber nichts bringen, da dieses gleich wieder ausgelesen werden kann.

Hier streife ich dann am besten noch das Thema Passwörter: Viele verwenden das gleiche Passwort auf vielen Seiten und bei vielen Diensten. Dies ist aber auf keinen Fall zu empfehlen, man sollte für jeden Dienst und jede Seite ein anderes Passwort haben.
Ein weiterer Punkt: sichere Passwörter:
Die meistgenutzten Passwörter im Internet sind:
-Jesus
-Password
-1234
-123456789
-987654321

Euch ist denke ich mal allen klar, dass dies keine sicheren Passwörter sind. Ein sicheres und schwer zu knackendes Passwort besteht aus Gross - und Kleinbuchstaben, Sonderzeichen und Zahlen. Falls ihr damit Mühe habt, dann bildet doch einen Satz und verwendet die Anfangsbuchstaben:
Seit ich 10 Jahre alt bin, liebe ich Tiger.
Das Passwort wäre somit: Si10Jab,liT
Dies ist ein sehr sicheres Passwort und mit der sogenannten Bruteforce Methode würde es ziemlich lange dauern, es zu knacken. Dazu mal ne Info:

So lange dauert das Passwort-Knacken
Die Dauer des Passwort-Knackens ist abhängig von der Komplexität und Länge des Passwortes und Ihrer verwendeten Hardware. Wir stellen Ihnen die zwei beliebtesten Angriffsarten vor und errechnen, wie lange Sie auf Ihr vergessenes Passwort warten müssen.

Extrem schnell: Wörterbuchangriff
Eine Software probiert jedes Wort einer Passwortliste und/oder eines Wörterbuches aus. Selbst Standard-PCs benötigen für den kompletten Durchlauf mit einigen Dutzend Sprachen nur wenige Sekunden. Es existieren auch Zahlen-Listen.

Langsam, aber gründlich: Brute-Force-Attacke
Als Brute-Force-Methode bezeichnet man das Ausprobieren aller möglichen Zeichenkombinationen mittels einer Software, bis das Passwort gefunden ist. Sie ähnelt dem Wörterbuchangriff, testet aber auch sinnfreie Kombinationen.

Rechenbeispiel: Ein 6-stelliges Passwort in 6,8 Sekunden Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt.

Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten.

Um das Passwort zu knacken rechnet die Quad-CPU jetzt rund 21 Minuten. Bei 7-stelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für 8 Zeichen würde unsere Quad-CPU fast 2 Monate brauchen; für 10 Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches.

Warum Brute-Force trotzdem immer beliebter wird Rechner werden immer schneller und stemmen die Berechnungen in immer kürzerer Zeit. Außerdem geht der Trend hin zu Grafikkarten, die diese Aufgabe noch schneller erledigen. Zudem stellt unsere Rechnung nur die maximale Berechnungsdauer dar, wenn also die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Der Zufall könnte bereits die erste berechnete Kombination zum Volltreffer werden lassen, was allerdings extrem unwahrscheinlich ist.

Sicheres Passwort erstellen | Browsercheck | Sind Sie wirklich sicher im Netz unterwegs?


Weiteres zu Heartbleed: Heartbleed Bug
https://mojang.com/2014/04/heartbleed/

Adobe Flash Player

Nun, dazu gibt es nur eine kleine Infos: ein neues Update wurde veröffentlicht, welches die meisten gravierenden Fehler und Bugs der letzten Version ausbessert.
Flash-Player-Update schließt Sicherheitslücken - ComputerBase

Freundliche Grüsse
Koolboy

Updates

Heartbleed

Folgende Dienste seien laut eigenen Angaben nicht betroffen:

• Microsoft
• AOL
• PayPal
• LinkedIn
• Apple
• Amazon

Bei folgenden Diensten ist das SSL - Update erfolgt und ihr solltet so schnell wie möglich euer Passwort ändern:

• Facebook
• eBay
• Soundcloud
• Tumblr
• Yahoo
• Dropbox