Autor Thema: SSL-Zertifikate / SSL/TLS-Protokoll  (Gelesen 7453 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Google-Forscher schlagen Ausweg aus dem SSL-Dilemma vor
« Antwort #45 am: 02 Dezember, 2011, 20:00 »
Die Google-Forscher Adam Langley und Ben Laurie schlagen in ihrem Paper Certificate Authority Transparency and Auditability neue Maßnahmen vor, um die Public-Key-Infrastruktur (PKI) hinter HTTPS vertrauenswürdiger zu machen. Die Idee der Forscher beruht auf öffentlich einsehbaren Listen, in denen alle jemals ausgestellten Zertifikate der Zertifizierungsstellen aufgeführt sind.

Das aktuell genutzte Konzept für sichere Webseiten hat zwei Probleme: Wenn sich ein Angreifer etwa durch einen Einbruch bei einer der weit über 100 Zertifizierungsstellen ein Zertifikat für einen Server wie eBay.com besorgt, haben Endanwender keine Chance, diesen Betrug zu bemerken. Auf der anderen Seite kann auch eine Firma wie eBay nicht feststellen, ob unter Umständen eine CA in China unberechtigter Weise ein Zertifikat für ihre Server ausgestellt hat.

Beide Probleme seien nach Meinung der Forscher mit einer öffentlichen Liste in den Griff zu bekommen. Die Browser sollen künftig beim Aufruf einer HTTPS-Seite prüfen, ob sich das vom Server ausgelieferte Zertifikat tatsächlich auf einer solchen Liste befindet. Ist das nicht der Fall, stuft der Web-Browser das Zertifikat als nicht vertrauenswürdig ein. Außerdem können Firmen die Listen aktiv überwachen, um missbräuchlich ausgestellte Zertifikate zu entdecken. Kriminelle, die an falsche Zertifikate gelangt sind, hätten dadurch keine Chance mehr, diese einzusetzen. Um die Integrität der Listen zu gewährleisten, sollen sogenannte Merkle-Signaturbäume zum Einsatz kommen.

Ob und wann die Vorschläge in die Tat umgesetzt werden, ist bislang noch völlig offen. Einen alternativen Ansatz verfolgt Sicherheitsexperte Moxie Marlinspike mit seiner Firefox-Erweiterung Convergence.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Webserver von niederländischer CA kompromittiert
« Antwort #46 am: 08 Dezember, 2011, 23:56 »
Der Webserver des niederländischen Zertifikatsherausgebers Gemnet ist gehackt worden. Das berichten niederländische Medien. Der anonyme Hacker verschaffte sich Zugang zur Datenbank, indem er eine PHPMyAdmin-Installation zur Verwaltung der Datenbank nutzte. Laut Bericht soll die Datenbank nicht mit einem Passwort gesichert gewesen sein.

Der virtuelle Einbrecher informierte darauf eine bekannte IT-Nachrichten-Website über das Datenleck. Diese benachrichtige die Muttergesellschaft von Gemnet, dem niederländischen Telekommunikationsriesen KPN, der eine sofortige Untersuchung veranlasste. Ähnlich wie DigiNotar stellt Gemnet Zertifikate für die niederländische PKI aus.

Durch die Sicherheitslücke und ein schwaches Administrator-Kennwort soll es dem Hacker gelungen sein, die Kontrolle über den Webserver zu erlangen. Auf diesem fand der Eindringling sicherheitsrelevante Informationen vor, darunter technische Details zum VPN, das KPN mit diversen niederländischen Unternehmen sowie öffentlichen Einrichtungen und Behörden wie der Polizei, dem Finanzamt und dem Ministerium für Sicherheit und Justiz verbindet.

Aus den gefundenen Dokumenten geht weiter hervor, dass der Zugang zum VPN aus den Behörden nicht in allen Fällen verschlüsselt stattfand. Auch sollen unsichere Tools wie telnet als Administratorzugang zur Firewall eingesetzt worden sein. In einer offiziellen Mitteilung zum Vorfall betont KPN, dass der Hack nur den Webserver und nicht die PKI-Server betreffe. Es soll deshalb nicht möglich gewesen sein, unberechtigt Zertifikate auszustellen. Die Gemnet-Website hat KPN während die Untersuchung nach dem Umfang der Sicherheitslücke läuft vom Netz getrennt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Der Diginotar-SSL-Gau und seine Folgen
« Antwort #47 am: 27 Januar, 2012, 19:40 »
Der SSL-GAU rund um den niederländischen Zertifikatsanbieter Diginotar hatte das Potenzial zu einer "internationalen Krise", gegen die die fortlaufenden Sicherheitsangriffe auf Sony "wie Peanuts" zu bewerten wären, erklärte Stefan Ritter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf dem CAST-Forum zu Public Key-Infrastrukturen. Ein Vertreter der Zertifikatsherausgeber präsentierte unterdessen neue Maßnahmen, die die Gefahr eindämmen sollen.

"Die eigentlich für uns völlig uninteressante Firma" war als Zertifikatsanbieter Dienstleister für Notare und die niederländische Regierung und operierte als Zwischen-CA für die staatliche PKI-Overheid (Obrigkeit), die unter anderem die Zertifikate für die elektronische Identifikation aller Bürger der Niederlanden ausgibt. Eine unglaubliche Fülle von Schwachstellen bei Diginotar führte dazu, dass über den Zertifikatsprovider über 500 falsche SSL-Zertifikate in Umlauf kamen.

Der Leiter des Computernotfallteams des Bundes (CERT-Bund) bewertete diesen Vorgang als extrem gefährlich, weil die Niederlande über eine sofortige Schließung von Diginotar praktisch den elektronischen Kontakt zur Bevölkerung verloren hätte. Außerdem franste der Fall aus, als die Diginotar-Kunden zu KPN Getronic wechselten, das ebenfalls Sicherheitsprobleme hatte und seine Zertifikatsangebote für zwei Wochen vom Netz nehmen musste. Eine internationale Dimension erreichte der Fall auch dadurch, dass sich ein Hacker zu den Sicherheitseinbrüchen bei Diginotar bekannte, der behauptete, weitere Zertifikatsanbieter kompromittiert zu haben.

Angesichts des Ausmaßes, in dem zertifikatsbasierte Verfahren eingesetzt werden (SSL/TLS, Code-Signing, Authentifikation, gesicherte E-Mail usw.) zwinge der Fall zum Umdenken bei PKI-Systemen, erklärte Ritter. Zwar sei das Code-Signing von Malware bisher eher selten, dennoch habe das BSI bereits neun Zertifikate gefunden, die von Malware benutzt wurden.

Axel Treßel vom CAB-Forum, dem Zusammenschluss der Zertifikatsanbieterstellte, präsentierte die als Reaktion auf den Vorfall zusammengestellte Liste von Minimalanforderungen, die die CAs bis zum 1.07.2012 erfüllen müssen. Insbesondere dürfen Zertifikate dann maximal 5 Jahre, ab dem 1.4.2015 nur noch 39 Monate gültig sein. Außerdem muss vor Ausgabe eines Zertifikates mit unabhängigen Quellen überprüft werden, ob der Antragsteller, also die Person oder Organisation existiert. Ferner verpflichten sich die Provider zu einem jährlichen Risk-Assessment und stichprobenhaft vierteljährlich die Zertifikate zu prüfen. Auch die Anforderungen an einen 24*7 zur Verfügung stehenden Sperrdienst wurden erhöht.

In der zweiten Jahreshälte 2012 will die europäische Union die sogenannte eSignatur Directive veröffentlichen, mit der sichere, grenzüberschreitende elektronische Identifikations- und Authentifizierungsprozesse standardisiert werden. Im Zentrum der Directive steht die übergreifende Zusammenarbeit der Zertifikatsdienste-Provider auf europäischer wie auf internationaler Ebene.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Entwickler des BEAST-Angriffs auf SSL legen nach
« Antwort #48 am: 06 September, 2012, 19:00 »
Die Sicherheitsforscher Juliano Rizzo und Thai Duong greifen ein Jahr nach BEAST erneut SSL/TLS-verschlüsselte Verbindungen an, wie ThreatPost berichtet. In rund zwei Wochen wollen sie auf der ekoparty mit CRIME erneut einen Angriff vorstellen, durch den man Cookies aus fremden HTTPS-Verbindungen klauen kann.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
SSL-Zertifikate und "der gefährlichste Code der Welt"
« Antwort #49 am: 25 Oktober, 2012, 17:00 »
Viele Programme, die Verschlüsselung nutzen, sind unsicher: Forscher der Universität von Texas und Austin und der Standford Universität fanden in vielen E-Commerce Web-Applikationen, bekannten Messaging-Diensten wie Trillian oder AIM und reihenweise in Cloud-Diensten unwirksame Verschlüsselung vor. Sie machen dafür vor allem die verwendeten Bibliotheken verantwortlich.

Secure Socket Layer – kurz SSL – ist der Defacto-Standard für sichere, verschlüsselte Internet-Verbindungen. Für dessen Sicherheit ist es jedoch von entscheidender Bedeutung, dass ein Programm die Identität der Gegenstelle, konkret also deren Zertifikat, überprüft. Und genau hier sehen die Forscher das Problem: "Die Überprüfung von Zertifikaten ist in vielen wichtigen Programmen und Bibliotheken komplett kaputt", lautet das Fazit ihrer Untersuchung The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Fatale Panne bei Zertifikatsherausgeber Türktrust
« Antwort #50 am: 04 Januar, 2013, 13:30 »
Der türkische Zertifikatsherausgeber Türktrust hat einen fatalen Fehler begangen: Er hat zwei SSL-Zertifikate ausgestellt, die sich wiederum selbst zum Ausstellen von Zertifikaten für beliebige Domains eignen. Mit einem der sogenannten SubCA-Zertifikate wurde ein SSL-Zertifikat für *.google.com ausgestellt, welches auch zum Einsatz kam. Laut Türktrust handelt es sich bei dem Vorfall um eine Verkettung unglücklicher Umstände, Hinweise auf einen Missbrauch gebe es nicht.

Google hat am Heiligabend festgestellt, dass Chrome-Nutzern bei der Nutzung von Google-Diensten ein Zertifikat präsentiert wurde, das gar nicht im Auftrag des Unternehmens ausgestellt wurde. Bei der Analyse des Zertifikats stelle sich heraus, dass es von einem SubCA-Zertifikat der Zertifizierungsstelle Türktrust ausgestellt wurde, woraufhin sich Google kurz drauf mit der türkischen Firma in Verbindung setzte.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Erneuter Krypto-Angriff auf SSL/TLS-Verschlüsselung
« Antwort #51 am: 14 März, 2013, 18:00 »
SSL/TLS ist die Basis für sichere Internet-Verbindungen; für die Verschlüsselung kommt dabei sehr häufig das bereits 1987 von Ron Rivest erfundene RC4 zum Einsatz. Gegen diesen Algorithmus haben Forscher jetzt einen Angriff vorgestellt, der zumindest den Anfang einer gesicherten Übertragung entschlüsseln kann. Der Angriff ist zwar noch eher theoretischer Natur, zeigt aber deutlich, dass Handlungsbedarf besteht.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Google erneuert SSL-Zertifikate
« Antwort #52 am: 24 Mai, 2013, 16:28 »
Der Internet-Gigant will seine Zertifikats-Infrastruktur überholen und warnt vorsichtshalber schon mal vor möglichen Problemen. Ab August tauscht Google seine SSL-Zertifikate aus, um neue, längere Schlüssel einzusetzen. Betroffen ist auch das Google-Root-Zertifikat, mit dem Google all seine eigenen Zertifikate unterschreibt.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
TLS 1.2: Bald bessere Verschlüsselung für Firefox und Chrome
« Antwort #53 am: 15 Juli, 2013, 13:51 »
Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.

Obwohl der Verschlüsselungsstandard TLS 1.2 bereits fünf Jahre alt ist, hält er erst langsam Einzug in die Browserwelt. Mit der jüngsten Version 3.15.1 erhält nun auch die von Mozilla entwickelte NSS-Bibliothek, die unter anderem von Firefox und Chrome verwendet wird, Unterstützung für die aktuelle SSL-/TLS-Version. Noch nicht unterstützt wird von NSS allerdings die authentifizierte Verschlüsselung im sogenannten Galois-/Counter-Mode von AES.

Der ganze Artikel

Quelle : www.golem.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen, denn über eine weitgehend unbekannte Funktion kann Microsoft dem Betriebssystem jederzeit neue Stammzertifikate unterschieben. Mit solchen Stammzertifikaten lassen sich dann beliebige andere Zertifikate beglaubigen.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Browser-SSL entschlüsselt
« Antwort #55 am: 03 September, 2013, 20:00 »
Wenn man den Inhalt einer SSL-Verbindung analysieren will, muss man die verschlüsselten Daten dekodieren. Firefox und Chrome können die verwendeten Schlüssel so protokollieren, dass Wireshark das on-the-fly erledigt.

Wenn man SSL nicht als Man-in-the-Middle über einen Proxy wie Burp aufmachen will, braucht man das Schlüsselmaterial, um an die verschlüsselten Nutzdaten zu gelangen. Das geht leichter als man denkt. Zeigt die dokumentierte Umgebungsvariable SSLKEYLOGFILE auf eine beschreibbare Datei, protokollieren Firefox und Chrome diese Daten. Da die keinesfalls in die falschen Hände geraten sollten, legt man dazu unter Linux vorsichtshalber gleich ein geschütztes Verzeichnis an:

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
« Antwort #56 am: 09 April, 2014, 18:36 »
628 der meistbesuchten Websites waren für den folgenschweren SSL-Bug anfällig – und sind es zum Teil sogar noch immer. Tests belegten, dass die Lücke auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter erlaubt.

Nach und nach wird klar, welcher Schaden bereits durch die fatale Sicherheitslücke in dem Krypto-Framework OpenSSL entstanden ist oder noch entstehen wird. Bei einer Überprüfung der laut Alexa 10.000 meistbesuchten Websites erlaubten 628 Server intime Einblicke in ihren Arbeitsspeicher. Darunter befinden sich allerhand prominente Namen wie etwa die HypoVereinsbank, Yahoo, Flickr, Kaspersky, der Zahlungsabwickler AfterBuy, Yahoo, Sparkasse.at, BitTorrent sowie viele mehr. Am gestrigen Dienstag berichteten wir bereits über die Anfälligkeit von Adobe, Web.de, VeriSign und weiteren. Die Liste lässt sich beliebig fortsetzen.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
So funktioniert der Heartbleed-Exploit
« Antwort #57 am: 10 April, 2014, 21:00 »
Der Heartbleed-Exploit macht sich eine Schwachstelle in der Umsetzung der Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL zunutze. Er funktioniert erstaunlich einfach und absolut zuverlässig.

Der sogenannte Heartbeat soll es eigentlich Server und Client ermöglichen, eine TLS-Verbindung am Leben zu halten. Zu diesem Zweck sendet einer der Kommunikationspartner eine Payload mit beliebigem Inhalt an das andere Ende. Der Kommunikationspartner schickt dann exakt die selben Daten zurück, um zu zeigen, dass die Verbindung nach wie vor in Ordnung ist.

Das Problem bei der Umsetzung der TLS-Heartbeat-Funktion in OpenSSL war, dass das Programm nicht überprüft, wie lang die empfangene Payload tatsächlich ist – der Empfänger glaubt dem Absender einfach. Der kann in das dafür vorgesehene Feld payload_length im Header des Payload-Paketes beliebige Werte schreiben, bis hin zur maximal in der Spezifikation vorgesehenen Größe von 64 KByte. Lügt der Absender bei der Größe der Payload, kann er letztlich Speicher der Gegenstelle auslesen. Dieser Heartbleed-Angriff funktioniert in beide Richtungen, aber im Folgenden sei angenommen, dass ein böser Client einen verwundbaren Server angreift.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Hans Vader

  • Ich bin der Kaiser von Romulanien ;-)
  • Mega-Cubie
  • ****
  • Beiträge: 174
Re: Heartbleed-Exploit
« Antwort #58 am: 11 April, 2014, 18:53 »
Kleines Erklärvideo hierzu von Sempervideo  :) :

Lenovo Ultrabook , Ubuntu "Trusty Tahr" /x64, Windows 8.1/x64,

Hauseigenes IP - TV via LinuxVDR
(Intel Celeron Basis ,  2 * Technotrend C-1501 DVB-C
Lubuntu 14.04 x64) ,Streamdev - Plugin , Vnsi - Server -Plugin‎

Banana PI Basis , Tevii S660 TV - USB
Lubuntu 14.04 / Arm , Streamdev - Plugin)

Intel 4770K, NVIDIA GTX 660 , 16 GB DDR3 1600 MHZ, 2* 4 TB HD, 1* 256GB SSD,  1* 128GB SSD, Samsung 28" Ultra - HD-Monitor,
Windoze 7 /x64, Ubuntu 14.04 /x64

Samsung Galaxy Note 3 Lollipop (Aua Zahn ...)

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Poodle: Experten warnen vor Angriff auf Internet-Verschlüsselung
« Antwort #59 am: 15 Oktober, 2014, 21:29 »
Das eigentlich längst veraltete SSLv3 ist die Achillesferse der Verschlüsselung im Internet: Damit gesicherte Verbindungen lassen sich dechiffrieren. Und der Angreifer kann erzwingen, dass das schwache Protokoll zum Einsatz kommt. Zeit zu handeln.

Forscher von Google haben vorige Nacht einen neuen Angriff namens Poodle vorgestellt, mit dem sich im Prinzip nahezu alle verschlüsselten Verbindungen im Internet knacken lassen. Die Wurzel des Übels ist das eigentlich längst veraltete Protokoll SSLv3. Es ist über 15 Jahre alt, wird jedoch als Fallback immer noch von nahezu allen Servern und Browsern unterstützt.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )