Tag Archives: heartbleed

Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013? | Electronic Frontier Foundation

 

Yesterday afternoon, Ars Technica published a story reporting two possible logs of Heartbleed attacks occurring in the wild, months before Monday’s public disclosure of the vulnerability. It would be very bad news if these stories were true, indicating that blackhats and/or intelligence agencies may have had a long period when they knew about the attack and could use it at their leisure.

 

[…]  Koeman’s logs had been stored on magnetic tape in a vault. The source IP addresses for the attack were 193.104.110.12 and 193.104.110.20. Interestingly, those two IP addresses appear to be part of a larger botnet that has been systematically attempting to record most or all of the conversations on Freenode and a number of other IRC networks. This is an activity that makes a little more sense for intelligence agencies than for commercial or lifestyle malware developers.

via

Das Internet brennt. Heartbleed, die Welt und Du. | Kleinerdrei

AUF EINER SKALA VON 1 BIS 10:

HEARTBLEED LIEGT BEI 11

Seit dem 7. April 2014 ist nun bekannt, dass OpenSSL bereits seit dem 14. April 2012 (also seit fast zwei Jahren) die Sicherheitslücke Heartbleed enthielt. Diese erlaubt es Angreifer_innen alle drei Spezialfähigkeiten (Datensicherheit, Zugangsdatensicherheit, und Systemzugangssicherheit) von TLS zu umgehen. Zu allem Übel werden dabei so gut wie keine Spuren hinterlassen, so dass nicht mit Sicherheit gesagt werden kann, wann und wo Angriffe passiert sind. Es muss davon ausgegangen werden, dass bei zwei Dritteln aller Webseiten und sonstigen Diensten Angriffe vorgenommen worden sind und sowohl Nutzer_innendaten, Geschäftsdaten, Passwörter und sonstige Zugangsdaten als auch private Schlüssel abhanden gekommen sind.

[…]

VERSCHLÜSSELT DOCH!

Im Zuge des Geheimdienstskandals der letzten etwa 10 Monate, kam immer wieder ein bestimmtes Argument auf. Besonders von technikaffinen Gruppen kam die Aussage, dass wir zur Bekämpfung der Massenüberwachung schon die richtige Technologien besäßen, dass sie derzeit nur noch nicht von “normalen” Endnutzer_innen genutzt werden könnten. Dem gegenüber steht das Argument, dass die bestehenden Werkzeuge auch gar nicht für einen Massenmarkt ausgelegt sind. Dies soll an dieser Stelle aber mal nur zweitrangig sein, denn die selben technikaffinen Gruppen lassen nun im Kontext von Heartbleed verlauten, dass man Computern sowieso nicht vertrauen könne. Ich kommentiere diese Haltung mal mit Captain Picard:

GEHEIMDIENSTE

Aber bleiben wir mal bei den Geheimdiensten. Ein maßgebliches Mittel, mit der die verschiedenen Überwachungsprogramme ermöglicht worden sind, ist die strukturelle Infiltrierung von Sicherheitssoftware und Sicherheitsstandards. Das Ziel der Geheimdienste dabei ist, eine Hintertür in der Öffentlichkeit zu platzieren, ohne dass die Öffentlichkeit es merkt.

via 

Heartbleed-Programmierer: Deutscher schrieb den fehlerhaften Code | SPIEGEL ONLINE

Internet-Sicherheitslücke: Deutscher programmierte Heartbleed-Fehler

Von Judith Horchert

 

Die Sicherheitslücke Heartbleed zwingt Millionen Menschen zum Ändern ihrer Passwörter. Den fehlerhaften Code hat ein junger Deutscher geschrieben. Im Netz wird er angeprangert, sogar Absicht wird ihm unterstellt. Jetzt bezieht er Stellung.

 

Sicherheitslücke Heartbleed: "Ich wäre jetzt nicht gern Robin S."

Sicherheitslücke Heartbleed: „Ich wäre jetzt nicht gern Robin S.“

Mit Heartbleed ist vor einigen Tagen eine der gravierendsten Sicherheitslücken in der Geschichte des Internets ans Licht gekommen. Die Verschlüsselungsfunktion, auf die sich Millionen Netznutzer Tag für Tag verlassen, wenn sie etwa ihr Passwort eingeben oder mit ihrer Kreditkarte im Netz bezahlen, ist in vielen Fällen nicht sicher.

 

Unter anderem waren Dienste wie Yahoo oder Google, Facebook oder Dropbox, Tumblr oder Web.de von der Lücke betroffen. Nutzer dieser Dienste sollten schleunigst ihr Passwort ändern, auch wenn das Leck bei vielen Diensten mittlerweile gestopft wurde. Niemand weiß, welche Daten von welchen Servern tatsächlich dank Heartbleed gestohlen worden sind, und es wird sich wohl auch nie herausfinden lassen.

via 

s.a.: Fefes Blog

Half a million widely trusted websites vulnerable to Heartbleed bug | Netcraft

heartbleed

[…]

Support for heartbeats was added to OpenSSL 1.0.1 (released in 2012) by Robin Seggelmann, who also coauthored the Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension RFC. The new code was committed to OpenSSL’s git repository just before midnight on new year’s eve 2011.

[…]

Popular sites which exhibit support for the TLS heartbeat extension include Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, HypoVereinsbank, PostFinance, Regents Bank, Commonwealth Bank of Australia, and the anonymous search engine DuckDuckGo.

via 

s.a.: Fefes Blog

Heartbleed Bug | heartbleed.com

The Heartbleed BugHeartbleed Bug

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users.

via