Hi!
Sollte man seinen E-Mail Account einmal testen lassen?
Man weiss ja nie, ob man doch unter den 18 Millionen gestohlenen E-Mail Accounts ist.


Testen kann man es hier:

Hmm...

Was bedeutet denn dieses OpenSSL-Desaster im Detail? Ein Angreifer konnte ggf. über den Zeitraum von 2 Jahren lang über die Lücke 64 KByte-Bröckchen des laufenden OpenSSL-Prozesses eines betroffenen Servers entreißen. Und das a) immer wieder und b) ohne dass der Server diesbzgl. was gemerkt hat. Und was findet sich in diesen 64-KByte-Bröckchen? So Sachen wie Logon Credentials anderer User der Site (also beliebige "Account-Daten") als auch ggf. der private Key des Servers mittels dessen ein Angreifer ab dem Zeitpunkt Man-in-the-Middle-Angriffe durchführen konnte (und damit ein potentieller Angreifer wiederum an Account-Daten herankommen konnte/kann) bzw. rückwirkend an solche Accountdaten anhand vorher angefertigten Netzwerk-Mitschnitte rankommen kann, da er sie bei Kenntnis/Abgreifen des Schlüssels nachträglich entschlüsseln kann, wenn die Website nicht PFS hatte, wie bspw. Apple, die aber die fragliche SSL-Extension wohl nicht unterstützten und daher nicht angreifbar waren, siehe bspw. usw. usf. Siehe bspw.

Da man nun nicht weiß, welche Sites alles betroffen waren und welche das Problem versuchen, einfach runterzuspielen, ist ein Ändern von Paßwörtern jetzt eine gute Idee. Und nochmal in paar Tagen/Wochen bzw. wenn man mitbekommen hat, dass der Serverbetreiber reagiert und gepatcht hat.

Das ist deine Meinung. In meiner Sache schrieb mich E-Bay persönlich an, wie auch die Telekom.
Daher bin ich auch etwas feinfühlig auf das Thema zu sprechen. Was Du sehen möchtest ist mir schnurz Und nachbabbeln ist nicht mein Ding Wenn man betroffen war, spricht man von ERFAHRUNG, wenn Du weisst was das ist? DAher würde ich nie jemanden anderen unterstellen er würde alles nachbabbeln
Mein Anbieter hat ja etwas unternommen bzw. beide

E-Bay ist also Dein zweiter Anbieter? Von was? Mail-Account?

Was konkret hat Dir E-Bay denn geschrieben? Wortwörtlich Du sollst Dein Mail-Paßwort bei Freenet ändern?

Schaden kann es jedenfalls nicht (sollte man sich ja sowieso angewöhnen, das regelmäßig zu machen), und im schlechtesten Fall ist's unnütz, weil auch diese Passwortänderung evtl. mitgelesen werden kann, sollte der betreffende Anbieter-Server sein OpenSSL nebst Zertifikat diesbzgl. noch nicht abgedichtet/erneuert haben und sich ein anderer per MITM einklinken oder eingeklinkt haben.

Man beachte, was z.B. hier als best practise empfohlen wird und in welcher anempfohlenen Reihenfolge:

agile bits Blog (08.04.2014): Imagine no SSL encryption, it’s scary if you try

Bruce Schneier Blog (09.04.2014): Heartbleed

Interessant auch folgende Blogeinträge zum Thema von Fefe: und das Follow-Up . (Diesen interessanten Verweis auf Fefe gefunden und diskutiert in den teilweise ebenfalls interessanten Kommentaren unterhalb Bruce Schneiers' Blog-Artikel).

Nein, in diesem Fall ist es eine Tatsache, auf die Dich jetzt auch schon mehrere Leute hingewiesen haben. Der Test sagt nichts über die Herkunft der Daten aus. Auch wenn Dich zwei Dienstleister angeschrieben haben könnte das Passwort aus der Liste auch von einem dritten Dienst stammen, bei dem Du mit der getesteten E-Mail Adresse angemeldet bist.
Und wenn Du jetzt plötzlich was von ebay erzählst, dann ist es ja noch schlimmer, wenn Du vorher nur von E-Mail Accounts gesprochen hast. Da ist das nachbrabbeln ja sogar noch eines wider besseren Wissens.

Noch 'ne kurze Ergänzung allgemein in die Runde (weil ich vorhin kurz mit 2 Admins geschnackt habe und denen das nicht in vollem Umfang präsent/bewußt war). Die Möglichkeit, dass das eigene Paßwort abgefischt wird, wenn man bei einem betroffenen Server jetzt sein Paßwort ändert, ist genauso groß wie wenn man sich dort einfach nur inkl. Authentifizierung/Anmeldung einlogged.

Der Bug ermöglicht Dritten auf betroffenen Servern Speicherbereiche des OpenSSL-Prozesses auszulesen, in denen sich alles Mögliche, mithin also auch Username/Paßwort-Kombinationen sich gerade einloggender oder vor einiger Zeit angemeldeter User befinden. D.h. Dritte können bei entsprechenden Servern quasi zufällig große Mengen an Accounts erbeuten (vielleicht stammt ja da auch der BSI-Fundus her, den die irgendwo aufgegabelt haben).

Kann, muss aber nicht.
Welche mehrere?

Was ist das für eine Logik? Entweder es wird abgefischt, oder es wird nicht abgefischt. Und wenn man, obwohl abgefischt wird, sein Passwort ändert, dann steht genau dieses neue, gerade geänderte Passwort demjenigen, der da grad' mithört, ebenfalls zur Verfügung, er bekommt also die Passwort-Änderung mit, hat somit auch das neue Passwort. Was wäre dann für den betreffenden Nutzer/Kunden an Sicherheit gewonnen? Nichts.

+1
Der Zusammenhang könnte existieren, ist gar nicht mal so unwahrscheinlich.

Siehe dazu auch:

Wired (10.04.2014): Has the NSA Been Using the Heartbleed Bug as an Internet Peephole?

Ok, um's kurz zu machen: Wer sich nicht sicher ist, ob er einen Dienst im Netz nutzt, bei dem er ein Konto hat und sich per SSL einlogged bzw. einloggen muß, und dessen Betreiber a) von dem Problem betroffen war und b) das Problem inzwischen serverseitig zumindest gepatcht hat, der braucht weniger drüber nachdenken, jetzt oder "nach dem Patchen" sein Paßwort zu ändern, sondern der braucht sich schlichtweg so lange nicht mehr dort authentifizieren, bis der verdammte Dienst gepatcht ist. Und wer das nicht mit seinen eigenen Mitteln rausbekommt (also: "ist jetzt sicher oder ist nicht?"), darf sich da gar nicht mehr anmelden. Das ist letztlich eine der bitteren Konsequenzen des Ganzen.

Es gibt mehrere Varianten:

a) der Angreifer befummelt fröhlich den Server und ihm kommen in den 64K-Blöcken immer und immer wieder Logon Credentials irgendwelcher anderer, zufällig betroffener User unter. Dabei ist es völlig unerheblich, ob sich diese User nur gegen den Server authentifizieren (und damit Benutzername/Paßwort ggf. im Anschluß von einem Angreifer ausgelesen werden kann) oder aktiv ihr Paßwort ändern. Wenn man Pech hat, ist in beiden Fällen der Account anschließend übernommen

b) die Lücke wurde irgendwann in der Vergangenheit mal ausgenutzt, d.h. Benutzername/Paßwort-Kombis irgendwelcher User sind dem Angreifer schon länger bekannt. Jetzt, wo das Ganze an die Öffentlichkeit kam, muß der Angreifer Eile walten lassen, will er mit den Logon Credentials noch irgendwie Unheil anrichten. In der Situation hülfe ein Ändern des Paßworts

c) die Angreifer haben den private key des Servers erbeutet, schneiden jetzt oder schnitten in der Vergangenheit fröhlich verschlüsselten TLS-Traffic mit, können ihn entschlüsseln und kommen damit quasi auch noch rückwirkend an Accountdaten.

Um sich vor a) zu schützen, muß man abwarten, bis der Serverbetreiber wenigstens gepatcht hat und darf sich weder einloggen noch sein Paßwort ändern. Um sich vor b) und c) zu schützen, sollte man so schnell wie möglich sein Paßwort ändern auch wenn der Server noch nicht gepatcht ist. Viel Spaß bei der Entscheidung, grad wenn man wie der typische Internetnutzer eigentlich keine Ahnung von dem ganzen Mist hat.

Variante d) wären Man-in-the-Middle-Angriffe, die gezielt ausgenutzt wurden, um einzelne Accounts abzugreifen nachdem der Key des Servers entwendet wurde... betrachte ich jetzt mal gar nicht, denn von der kriminellen Energie her und den Möglichkeiten, ist das eh nur was für Vereine wie NSA&Co.

Ist ja schon ne weile her, unter anderem schlug man mir vor, alle Passwörter zu ändern die in Verbindung mit E-Bay stehen. Des weiteren sollte ich schauen, ob dort eine Weiterleitung eingestellt ist.

Nun auch in der Schweiz

OK. Da gibt es keinerlei Widerspruch von mir, höchstens Bekräftigung. Was anderes habe ich auch nicht deutlich machen wollen und durch entsprechende Links zu bekräftigen versucht bzw. Du sagst jetzt, nach meiner Nachfrage im Grunde das Gleiche wie ich schon vorher, nur mit mehr Worten.

Zu Deinem b): warum hülfe in der Situation ein Ändern des Passwortes, wenn der Server weiterhin ungepatcht ist? Selbst wenn er in der Vergangenheit da was abgefischt haben sollte -- woher weißt Du, das er das nicht auch seitdem bis zum jetzigen Tage dauerhaft weiterhin tut z.B. durch eine entsprechend platzierte Schadsoftware auf dem Server bzw. das nicht auch tut ausgerechnet auch in dem Moment, in dem Du das Passwort änderst; und er dann genau diese Passwortänderung live mitbekommt? Deswegen kann in einem solchen Fall bei ungepatchtem Server eine Passwort-Änderung helfen und Weiteres verhindern -- solange genau in dem Moment nicht zufällig mitgelauscht wird. Und wenn doch, dann eben leider nicht.

Ganz sicher wirkungsvolle Passwortänderung ohne ob des Erfolgs unsicher sein zu müssen, deshalb erst möglich, sobald der Nutzer in Kenntnis ist, dass die Gegenstelle, so betroffen, nachgebessert hat und kein Abfischen/Mithören der durchzuführenden Passwortänderung möglich ist. Oder eben im glücklichen Fall gar nicht betroffen ist und somit auch kein Handlungsbedarf seitens des Anbieters und auch des Nutzers/Kunden besteht. Vorher ist es gegenüber betroffenen Anbietern sozusagen eine 50:50-Chance -- Passwortänderung jetzt sofort kann ausreichen, es kann aber auch für die Katz' sein und evtl. ein Schuss ins Leere, weil genau diese Änderung ebenfalls mitgelesen wird. Und wir überhaupt nicht wissen, auf welche Weise genau wer mit welchen Mitteln und welchem Einsatz das Abfischen gemacht hat bzw. immer noch macht, ob er beständig mithört oder nur zeitweise oder das schon beendet hat oder noch weiter betreibt.

+1

Und wer viele Accounts weit verstreut hat auf viele Dienste (angefangen von email/Webmail bis hin zu Social-Webseiten, Dating-Seiten, Online-Händler, Bugtrackern, Entwicklerportalen etc. pp.), die meisten davon direkt oder indirekt an eine email-Adresse gebunden z.B. als dortigen Benutzernamen, die er nutzt oder in den letzten zwei Jahren genutzt hat, der hat für eine Weile wohl ganz schön was zu überprüfen und zu tun. Shice.

Tatsache, die Meldung, auf die sich das Blatt bezieht, ist formal korrekt (und nahezu ohne Inhalt) und die Überschrift ist genauso bescheuert, wie das hierzulande landauf landab (unter anderem von Dir) wiedergekäut wird:

Also reduziert sich das Knacken bzw. "Stehlen" Deiner Mail-Accounts in Wirklichkeit auf

- E-Bay hat irgendwann mal irgendwas irgendwie Sinnvolles angeregt und Du hast bei Freenet Dein Account-Paßwort geändert (warum bei Freenet? Keine Ahnung, vermutlich weil Du Deine Freenet-Adresse bei E-Bay hinterlegt hast?)

- Das BSI bat die Telekom, Mails an einen gewissen Verteilerkreis zu schicken, weil diese Adressen auf irgendeiner Liste aufgetaucht sind.

Aller Voraussicht nach sah die Mail der Telekom genauso aus wie das, was United-Internet rausgeschickt hat um die User prophylaktisch zu zwingen, sich ein neues Paßwort zu vergeben. Ich würd an Deiner Stelle die Meldung bei Heise Security in aller Ruhe und vollständig durchlesen und mich mal langsam aber sicher von der fixen Idee "Mail-Account-Klau" verabschieden

@Kaiser
Was wird denn hier nicht wiedergekäut? Und wenn ich so etwas sehe, dann antworte ich doch erst gar nicht auf diverse fragen, wenn mich das Wiedergekäute nervt
Heise? Na dann gehe ich lieber auf die Bild.De Seite

So, wie ich's verstanden habe, ist das "normale" Ausnutzen der Lücke eines, bei dem man zufällig an Daten rankommt. Ich sauge mir die 64 KB Paketchen vom Server, laß die automatisiert parsen und hoffe auf Spannendes. Das, was OpenSSL da im RAM hat, kann ja alles Mögliche sein, siehe die Speicherdumps hier, die auf genau dem Wege entstanden sind.

D.h. es ist kein aktives Abschnorcheln der Verbindung Browser-Server sondern eher ein Zufallsfund. Am Ende also alles eine Frage der Wahrscheinlichkeiten.

Das erste wäre ja was völlig anderes und soweit ich das Stand jetzt überblicke, hat Heartbleed nix mit Privileges Escalation zu tun. D.h. wenn auf dem Server Schadsoftware laufen sollte, dann ist das nochmal 'ne ganz andere Nummer und dann kann der Serverbetreiber mit OpenSSL herumpatchen wie er will und das alles ist völlig sinnlos. Zum zweiten also dem gezielten Abgreifen siehe oben (was anderes wäre die Man-in-the-Middle-Variante, die aber in großem Umfang bzw. überhaupt "sicher" nur funktioniert, wenn sie von Organisationen mit Quasi-Allmacht genutzt wird NSA&Co.)

Und wer Dienste nutzt oder nutzen muß, die eine Mail-Adresse als Username wollen, dann noch wollen, dass diese Mail-Adresse auch erreichbar ist und über diese identische Adresse dann auch noch so Sachen wie "Paßwort zurücksetzen" funktionieren, hat einfach nur die Arschkarte gezogen. Die Frage ist, ob derlei Anbieter (wie bspw. Adobe) jetzt endlich mal den Schuß hören und genau so wie "sichere" Paßwörter vorausgesetzt werden, es unterbunden wird, einen Usernamen zu wählen, der eine erreichbare Mailadresse ist. Einfach weil's Identitätsdiebstahl (wie jetzt ggf. auch im großen Stil, siehe den eigentlichen Threadinhalt) massiv vereinfachen kann.

Thomas Kaiser:

+1

Heartbleed-masstest / top10000.txt

Test your server for Heartbleed


N24: SSL-Sicherheitsleck "Heartbleed" Passwörter dieser Websites sind dringend zu ändern

Thomas Kaiser:

Dazu grad' aktuell:

Golem (10.04.2014): OpenSSL-Bug: Spuren von Heartbleed schon im November 2013
Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf.

EFF (10.04.2014): Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?

Das wird ja immer ekliger...

Interessant finde ich doch mal

ZEIT Online (10.04.2014): OpenSSL: Deutscher für Heartbleed-Fehler verantwortlich
Die Sicherheitslücke Heartbleed geht auf einen Code zurück, den ein deutscher Programmierer schrieb. Er beteuert, nichts von dem Fehler gewusst zu haben.

The Sydney Morning Herald (11.04.2014): Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately

FAZ Online (10.04.2014): „OpenSSL“-Sicherheitslücke Jetzt. Muss. Jeder. Jedes. Passwort. Ändern!
Heartbleed“ ist ein Fehler, der zwei Jahre unentdeckt blieb und dem jedes Passwort im Internet zum Opfer fallen kann. Nun muss repariert werden. Aber eigentlich brauchen wir neue Standards.



heise Security (10.04.2014): So funktioniert der Heartbleed-Exploit
Der Heartbleed-Exploit macht sich eine Schwachstelle in der Umsetzung der Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL zunutze. Er funktioniert erstaunlich einfach und absolut zuverlässig.

heise Security Kommentar (10.04.2014): Passwörter in Gefahr - was nun?
Durch Heartbleed sind theoretisch schon wieder viele Millionen Passwörter in Gefahr. Also alle ändern? Schon wieder? Oder erst mal abwarten?

Auch zahlreiche Cisco-Produkte vom Heartbleed SSL-Bug betroffen:

Cisco Security Advisory (10.04.2014): OpenSSL: Heartbeat Extension Vulnerability in Multiple Cisco Products


Ebenso das aktuellste, gestern gleich mit entspr. Patch erschienene Update von LibreOffice 4.2 (genauer: Version 4.2.3; Version 4.1 und früher sind nicht betroffen):

Document Foundation Blog: LibreOffice 4.2.3 is now available for download

Document Foundation Security Advisories: CVE-2014-0160


heise Security (10.04.2014): Smartphones vom SSL-GAU (fast) nicht betroffen
Keine der wichtigen Smartphone-Plattformen setzt in der aktuellen Version eine der für Heartbleed anfälligen OpenSSL-Bibliotheken ein. Lediglich Android-Nutzer mit einer mittelalten Version (4.1.1) benötigen ein Update.

Im Fall von Heartbleed ist ja Apple eigentlich nicht betroffen, nur im Zusammenhang mit Accounts wie Facebook, Google oder auch Yahoo. Hier sollte man schon die Passwörter erneuern.

Das siehst Du leider zu locker und eingeengt und daher falsch: , , .

Wie man hier schreibt schon:

Au Mann! Selektive Wahrnehmung offenbar. *kopfschüttel*
Lies einfach mal die drei von mir verlinkten Kommentare zu genau dieser von Dir gemeinten Meldung, insbesondere die beiden Kommentare von Thomas Kaiser (wenn Du meinen dazu nicht lesen willst). Statt meine 3 Links zu übergehen und Dich im Kreis zu drehen. Tue doch einfach mal was man Dir empfiehlt und nahelegt, dann erübrigt sich Manches.

@skb
Von Selektiver Wahrnehmung bist Du ja ganz bestimmt berieselt.
Ganz ehrlich, ich lese keine Romane

Wenn du nicht lesen willst, dann schreib doch bitte auch einfach nicht. Du fährst hier jegliche interessante Diskussion an die Wand mit deinem uninformierten und engstirnigen Geschwurbel. Hattest du nicht schon Bild.de als Seite deiner Wahl gekürt? Da findest du bestimmt hübsche Bildchen zum anschauen, dann musst du nicht lesen.

Danke an dieser Stelle (wenn ich eh schon dank des Hutträgers OT produziere) an sierkb und Thomas Kaiser für eure Beiträge! Ich bin da technisch leider nicht so sehr bewandert (und bin daher lieber stiller Mitleser anstatt Müllwiederkäuer) und bin immer froh, wenn Sachverhalte von euch nochmals beleuchtet werden. Herzlichen Dank! *thumbs up*

Also wie soll ich das nun verstehen? Du schreibst, Du bist technisch nicht so bewandert, und meinst Du kannst dann doch deinen Senf dazu geben? ALSO mal ehrlich, vielleicht solltest Du Dir Bildchen anschauen statt zu grübeln worum es geht

Pseudonym

+1 und danke!

@mbh
Mit "beschränkter" Haftung

Pseudonym

+1 und Danke!

flool
-2 Bitte

Freenet, hat nun ausgebessert!