Abt. der kleine grosse Unterschied - heute: Heartbleed


MELANI, die "Melde- und Analysestelle Informationssicherung" riet gestern in den Morgennachrichten uns Normaluser_innen: "48 Stunden Finger weg vom E-Banking!". Eine interessante Première!

Die globale Aufregung entstand übrigens lediglich, weil im Quellcode von OpenSSL das stand

buffer = OPENSSL_malloc(1 + 2 + payload + padding);

und nicht das

buffer = OPENSSL_malloc(write_length);

Ein Klassiker!

Eine Variablengrösse ("buffer") wird zusammengesetzt aus u.a. einem von aussen, per Userrequest, definierbaren Wert ("payload"). Und wird daraufhin - jetzt kommt's! - nicht mehr auf die Zulässigkeit der entstehenden Grösse geprüft (das ist inzwischen geändert).

Darum konnten cleverere Hacker_innen mindestens 2 Jahre lang sozusagen die Tresortüre vor dem Speicher eines vermeintlich per SSL gesicherten Servers so weit aufschieben, dass sie Dinge sahen, die eigentlich nicht für die Oeffentlichkeit bestimmt waren.

Sie konnten die ihnen so zugänglichen Ausschnitte des Arbeitsspeichers von vermeintlich per SSL gesicherten Servern sogar runterladen. Und dann darin, offline, in aller Ruhe nach Passwörtern etc. suchen.

So beschreibt z.B. @fb1h2s das Problem (backup der Seite bei archive.is).

Die Hacker_innen mussten für den Download der Speicherbereiche aus dem Server nicht etwa irgend einen privilegierten Zugang zu der Maschine haben. Keine Usernamen, keine Passwörter. Das "Problem" lag eine Schicht tiefer. Sie mussten lediglich eine clever formatierte, auf den ersten Blick "unschuldig" aussehende SSL-Anfrage an den Server schicken. Der allerdings antwortete - freiwillig - pro Anfrage mit bis zu 64kB grossen Ausschnitten aus seinem "Allerheiligsten".

Die Pointe: Die Anfrage hinterliess keinerlei verdächtige Spuren. Ausser - vermutlich - einen normalen Eintrag im Logfile, dass jemand per https auf den Server zugegriffen habe. Von den übermittelten Speicherlecks steht nichts im Logfile.

Hat die NSA diesen Fehler für ihre Zwecke verwendet? Vielleicht. Vielleicht nicht.

Erklärung von xkcd
xkcd.com
hat sich wahrscheinlich schon rumgesprochen ;-)

... Link


... Comment
Keine Spur im Logfile

Nein in den Logfiles gibt es keine Spuren, da das ganze auf der Ebene der Verbindung (SSL) abläuft, bekommt der Server-Prozess davon nichts mit. Für den Server Prozess (sei dies ein Webserver, Mailserver oder was auch immer) ist SSL transparent.
Das ist genau ein Teil des Übels, die Attacke hinterlässt keine Spuren (wenn nicht der gesamte Datenverkehr aufgezeichnet wird)...

... Link


... Comment

Read more infamous news! 
 
infamous for 4448 Days
Sperrfrist: 02.10.14 12:18

Kontakt:
Medienbüro Dominique Spirgi
Murbacherstrasse 34
CH-4056 Basel
T +41 61 681 61 77
E-Mail



status
Youre not logged in ... Login

menu
... infamy home
... such!
... topics
... 
... Tags

... antville home
... disclaimer


Oktober 2014
MoDiMiDoFrSaSo
12345
6789101112
13141516171819
20212223242526
2728293031
September




Für die Kaffeekasse:
Neuzugänge:
Schwester, hat tromboni heute seine Spritze nicht bekommen?
by patpatpat (02.10.14 12:18)
Ach Diesen ComputerClub90erScheiss bei jedem grösseren Bauprojekt warmkochen ist so was von Schrebergarten. Und Schaks...
by tromboni (02.10.14 12:11)
Abt. Blinkenbasel - nächste Chance "Blinkenbasel" wär "Blinkenlights in Basel". Blinkenwas? Kurz gesagt: Hochhausfenster als...
by patpatpat (02.10.14 11:42)
Aus Tadel wird Adel Den BaZ-Journis gehen die Abmahnungen des Presserats doch wohl am Allerwertesten...
by ridikühl (29.09.14 22:03)
Abt. Gelungene Tweets Heute von Mario Sixtus, auch bekannt als Elektrischer Reporter: Leute, die "Wir...
by bagger (29.09.14 11:04)
Abt. Mikropolitik - heute: Zonenplanrevision Das Schlussresultat: Stadtrandentwicklung Ost, Ja-Stimmen: 49,23% Stadtrandentwicklung Süd, Ja-Stimmen: 45,6%
by patpatpat (28.09.14 12:06)
Abt. Zahlenspiele: 4444 Tage infamy Zahlenspiele gab es hier in den vergangenen Wochen ja des...
by supra (28.09.14 11:11)
... ist in 10, 20, 30 Jahren für Dich, Deine Göttergattin, Deine Tochter und Deine...
by patpatpat (27.09.14 18:37)