halblustige artikel ueber den heartbleed-bug

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

halblustige artikel ueber den heartbleed-bug

Beitragvon jutta » Fr 11 Apr, 2014 12:13

in den fuer's "normale volk" geschriebenen artikeln über den heartbleed bug findet man recht lustige sachen.

für die bbc besteht das internet offenbar nur aus websiten von denen laut dem artikel rund 2/3 betroffen sind. (kann ich mir nicht ganz vorstellen, denn die meisten 08/15 websites auf die ich so komme, sind unverschlüsselt). facebook und google sind sicher. schön - wochenende gerettet :)
ein experte schlägt vor, dass man in den nächsten tagen keine bestellungen bei online-shops machen soll, bis die betreiber alle ihre software aktualisiert haben. wenns für sonst nichts gut ist, dann spart man mit dem tipp zumindest geld ^^ und dann gibts noch einen tipp, dass man seine passwörter immer wieder ändern soll und dass es spezielle tools zu generieren sicherer passwörter und zum speichern von passwörtern gibt. wenn die von einer sicherheitslücke betroffen sind, sind dann wenigstens alle passwörter auf einmal dahin :twisted:

zum schluss gibts dann noch eine merkwürdige andeutung über einen möglichen zusammenhang mit abhörverscuhen der nsa http://www.bbc.com/news/technology-26969629

im wall street journal steht, dass auch einige produkte von juniper und cisco betroffen sind (no na) und schreiben dann so herum, als würde der gesamte traffic durchs web-interface geroutet ;| und ganz zum schluss weisen sie darauf hin, dass openssl von "4 europäischen programmierern" entwickelt wird. die schuld an der misere liegt also auf dieser seite des grossen teichs :p
http://online.wsj.com/news/articles/SB1 ... 3847851346
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: halblustige artikel ueber den heartbleed-bug

Beitragvon Elbart » Fr 11 Apr, 2014 22:08

#Neuland ^^

Ich möchte gar nicht wissen, was für ein Blödsinn diesbezüglich in unseren Boulevard-Rotztüchern steht.
"INTERNET GEHACKT! ALLE TOT!"
Elbart
Board-User Level 1
Board-User Level 1
 
Beiträge: 743
Registriert: So 17 Okt, 2004 14:53
Wohnort: Celovec

Re: halblustige artikel ueber den heartbleed-bug

Beitragvon jutta » Sa 12 Apr, 2014 05:35

ein einem blog erwähnte einer gestern den "good time virus" hoax. der drohte ähnliches an (wird die festplatte zerstören, wird den ganzen computer zerstören usw.) ein paar leute, die schon sehr früh internetzugang hatten, können sich vielleicht noch erinnern http://en.wikipedia.org/wiki/Goodtimes_virus https://www.cs.rutgers.edu/~watrous/goo ... spoof.html

in der nanog-mailingliste machen sie sich grad lustig über einen artikel, in dem aufgrund anonym erhaltener informationen behauptet wird, dass die NSA den bug "seit zumindest zwei jahren" von dem bug gewusst hat und ihn ausgenützt hat. danach müssten sie ihn aber selbst programmiert (und installiert) haben (was in dem artikel nicht behauptet wird), denn die openssl-version, in der der fehler passiert ist, gibt es erst seit maerz 2012 und nagelneue versionen von irgendwas werden in der regel nicht sofort auf produktivservern installiert.

der artikel http://www.bloomberg.com/news/2014-04-1 ... umers.html
die diskussion dazu http://mailman.nanog.org/pipermail/nano ... 66191.html und folgeposts

ernsthafte informationen gibt es unter http://heartbleed.com/ http://www.openssl.org/
http://blogs.cisco.com/security/openssl ... tigations/
http://tools.cisco.com/security/center/ ... heartbleed
http://kb.juniper.net/InfoCenter/index? ... d=JSA10623
http://kb.juniper.net/InfoCenter/index? ... 4&actp=RSS
http://www.heise.de/newsticker/meldung/ ... 65995.html

//ps: ein cartoon, der den bug anschaulich erklärt http://xkcd.com/1354/
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: halblustige artikel ueber den heartbleed-bug

Beitragvon jutta » Sa 12 Apr, 2014 14:59

muss mich leider aus akutellem anlass selbst zitieren:

jutta hat geschrieben:und dann gibts noch einen tipp, dass man seine passwörter immer wieder ändern soll und dass es spezielle tools zu generieren sicherer passwörter und zum speichern von passwörtern gibt. wenn die von einer sicherheitslücke betroffen sind, sind dann wenigstens alle passwörter auf einmal dahin :twisted:


und nun das zitat aus einem heise-artikel von donnerstag nachmittag:
Mashable hat die bisherigen Stellungnahmen prominenter Dienste zusammengetragen und versucht daraus abzuleiten, wo überall eine Passwortänderung nötig ist. Das wäre demnach unter anderem bei Dropbox, Facebook, Google und LastPass und Tumblr nötig.
(meine hervorhebung)
http://www.heise.de/security/meldung/He ... 67630.html


LastPass ist .... "ein Kennwort-Manager, der das Web-Browsing einfacher und sicherer macht."
https://lastpass.com/
:diabolic:
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: halblustige artikel ueber den heartbleed-bug

Beitragvon Elbart » So 13 Apr, 2014 13:04

Ich verstehe sowieso nicht, wie man diese Online-Passwort-Safe-Dienste nutzen kann.
Statt sich nur zu sorgen, ob bei der Webseite wohl alles ordentlich verschlüsselt wird, muss ich mir ja noch zusätzlich Sorgen machen, ob die bei LastPass, 1Password etc. auch alles richtig gemacht haben.
Elbart
Board-User Level 1
Board-User Level 1
 
Beiträge: 743
Registriert: So 17 Okt, 2004 14:53
Wohnort: Celovec

Re: halblustige artikel ueber den heartbleed-bug

Beitragvon mexx3 » Fr 18 Apr, 2014 13:09

Gibt es eine viel einfachere Methode wie man Passwörter schützt.

WordPad alle PW's reinschreiben und mit Winrar passwortgeschützt einpacken.

Ist ja doch meistens so das man sich die Passwörter eh merkt die man oft verwendet.
mexx3
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 49
Registriert: Do 04 Nov, 2010 17:33

Re: halblustige artikel ueber den heartbleed-bug

Beitragvon lordpeng » Fr 18 Apr, 2014 15:08

ich hab zu XP zeiten recht gerne den aladdin etoken als auch die client security suite von ibm/lenovo verwendet, die software hat sich recht gut anpassen lassen um automatisch gleich kennwortfelder diverser applikationen aus zu füllen ...

betriebsintern verwenden wir für seit jahren einen browser-basierende lösung zur kennwort verwaltung, die via ldap schnittstelle ans active directory gekoppelt ist, jeder zugriff von mitarbeitern wird geloggt, die daten selber liegen dabei in einer SQL datenbank ...

das einzige was an dieser lösung noch zu verbessern wäre, das ganze in ein verschlüsseltes filesystem zu migrieren ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45


Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste