Durch den Hype zu graben hat Heartbleed tatsächlich jemandem geschadet?
Der Heartbleed-Fehler Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Read More war das Thema vieler Handgriffe und wurde als eine der schwerwiegendsten Computersicherheitsverletzungen aller Zeiten bezeichnet. Massiver Fehler in OpenSSL setzt einen Großteil des Risikos im Internet ein Massiver Fehler in OpenSSL setzt einen Großteil des Internets in Gefahr, wenn Sie gefährdet sind Einer derjenigen, die immer daran geglaubt haben, dass Open-Source-Kryptografie die sicherste Art ist, online zu kommunizieren, ist eine Überraschung. Weiterlesen . Aber manche Leute sind nicht überzeugt - wer hat Heartbleed tatsächlich geschadet? Nun, es gibt mehrere Angriffe auf Heartbleed, die dazu benutzt wurden, um echten Schaden zu verursachen. Wenn Sie glauben, dass Heartbleed nur ein Hype ist, denken Sie noch einmal nach.
900 Sünden von der Canadian Revenue Agency gestohlen
In Kanada setzte ein Angreifer den Heartbleed-Bug gegen die Canadian Revenue Agency ein und ermittelte etwa 900 Sozialversicherungsnummern (SINs) von Personen, die ihre Einkommensteuer einreichen. Dies ist im Wesentlichen das kanadische Äquivalent eines Angreifers, der Sozialversicherungsnummern (SSNs) der IRS in den USA erfasst. Einige Daten zu kanadischen Unternehmen wurden ebenfalls gestohlen.
Der Angreifer wurde verhaftet, weil er diese Zahlen erfasst hatte, aber wir wissen nicht, ob der Angreifer die SINs verkauft oder an einen anderen weitergegeben hat. Wie in den USA sind diese Nummern in der Regel nicht veränderbar. Sie können nur geändert werden, wenn Sie nachweisen, dass Sie Opfer eines Betrugs sind. Betroffene Steuerzahler müssen einen Kreditüberwachungsdienst abonnieren und die Personen verfolgen, die versuchen, Bankkonten und Kreditkarten in ihrem Namen zu eröffnen. Identitätsdiebstahl 6 Warnzeichen für einen digitalen Identitätsdiebstahl, den Sie nicht ignorieren sollten 6 Warnzeichen für einen digitalen Identitätsdiebstahl, den Sie nicht ignorieren sollten Identitätsdiebstahl ist heutzutage nicht zu selten ein Ereignis, dennoch geraten wir oft in die Falle, dass wir denken werde immer "jemand anderem" passieren. Ignorieren Sie nicht die Warnzeichen. Mehr lesen ist hier ein ernstes Anliegen.
Mumsnet und andere Passwortdiebstähle
Mumsnet gab kürzlich bekannt, dass alle Benutzer gezwungen sind, ihre Passwörter zu ändern. Dies war nicht nur eine vorbeugende Maßnahme - Mumsnet hatte Grund zu der Annahme, dass Angreifer Zugriff auf die Passwörter und privaten Nachrichten von bis zu 1,5 Millionen Benutzern hatten.
Dies ist wahrscheinlich nicht die einzige Website, auf der sensible Passwörter gestohlen wurden. Wenn Menschen den großen Fehler machen, dasselbe Passwort auf mehreren Websites erneut zu verwenden, kann ein Angreifer andere Konten aufrufen. Wenn zum Beispiel jemand dasselbe Kennwort für sein Mumsnet-Konto und das mit seinem Mumsnet-Konto verknüpfte E-Mail-Konto verwendet, kann der Angreifer dieses E-Mail-Konto aufrufen. Von dort aus kann der Angreifer andere Kennwörter zurücksetzen und andere Konten aufrufen
Wenn Sie eine E-Mail von einem Dienst erhalten haben, in der Sie aufgefordert werden, Ihr Kennwort zu ändern und sicherzustellen, dass Sie dasselbe Kennwort nicht an anderer Stelle verwenden, ist es möglich, dass der Dienst seine Kennwörter gestohlen hat - oder möglicherweise seine Kennwörter gestohlen wurden und nicht sicher ist.
VPN-Hijacking und Diebstahl privater Schlüssel
Das Sicherheitsunternehmen Mandiant gab bekannt, dass Angreifer Heartbleed verwendet haben, um ein internes Unternehmens-VPN oder ein virtuelles privates Netzwerk, das zu einem seiner Kunden gehört, zu verletzen. Das VPN verwendete die Multifaktor-Authentifizierung. Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie es verwenden? Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie es verwenden? Bei der Zwei-Faktor-Authentifizierung (2FA) handelt es sich um eine Sicherheitsmethode, die zwei verschiedene Arten des Nachweisens erfordert deine Identität. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, sondern auch das spielt keine Rolle - der Angreifer konnte private Verschlüsselungsschlüssel von einer VPN-Appliance mit dem Heartbleed-Angriff stehlen und anschließend das aktivierte VPN entführen Sitzungen.
Wir wissen nicht, welche Firma hier angegriffen wurde - Mandiant gab gerade bekannt, dass es sich um ein Unternehmen handelt “Großunternehmen.” Angriffe wie diese können verwendet werden, um vertrauliche Unternehmensdaten zu stehlen oder interne Unternehmensnetzwerke zu infizieren. Wenn Unternehmen nicht sicherstellen, dass ihre Netzwerke nicht anfällig für Heartbleed sind, kann ihre Sicherheit leicht umgangen werden.
Der einzige Grund, warum wir davon hören, ist, dass Mandiant die Menschen dazu ermutigen möchte, ihre VPN-Server abzusichern. Wir wissen nicht, welches Unternehmen hier angegriffen wurde, weil Unternehmen nicht mitteilen wollen, dass sie kompromittiert wurden.
Dies ist nicht der einzige bestätigte Fall, in dem Heartbleed verwendet wird, um einen privaten Verschlüsselungsschlüssel aus dem Arbeitsspeicher eines laufenden Servers zu stehlen. CloudFlare bezweifelte, dass Heartbleed verwendet werden konnte, um private Verschlüsselungsschlüssel zu stehlen, und forderte eine Herausforderung heraus. Versuchen Sie, den privaten Verschlüsselungsschlüssel von unserem Server abzurufen, wenn Sie können. Mehrere Personen erhielten den privaten Schlüssel an einem einzigen Tag.
Staatliche Überwachungsagenturen
Umstritten war, dass der Heartbleed-Fehler von staatlichen Überwachungs- und Geheimdiensten entdeckt und ausgenutzt werden konnte, bevor er öffentlich bekannt wurde. Bloomberg berichtete, dass die NSA Heartbleed mindestens zwei Jahre lang ausgebeutet habe. Die NSA und das Weiße Haus bestritten dies, aber der Direktor der nationalen Geheimdienste, James Clapper, hat bekanntlich gesagt, die NSA habe keine Daten von Millionen von Amerikanern erhoben, bevor die Überwachungsaktivitäten der NSA bekannt wurden. Etwas, das wir jetzt wissen, ist nicht wahr. Alles was Sie wissen müssen, was PRISM ist? Alles, was Sie wissen müssen Die National Security Agency in den USA hat Zugriff auf alle Daten, die Sie bei US-amerikanischen Dienstanbietern wie Google Microsoft, Yahoo und Facebook speichern. Sie überwachen wahrscheinlich auch den Großteil des Verkehrs, der über die… Read More. Wir wissen auch, dass die NSA Sicherheitslücken für den Einsatz gegen Überwachungsziele vorrätig hält, anstatt sie zu melden, damit sie behoben werden können.
Abgesehen von der NSA gibt es andere staatliche Überwachungsbehörden auf der Welt. Es ist möglich, dass die staatliche Überwachungsbehörde eines anderen Landes diesen Fehler entdeckt und gegen Überwachungsziele eingesetzt hat, möglicherweise sogar in den USA ansässige Unternehmen und Regierungsbehörden. Wir können hier nicht sicher etwas wissen, aber es ist sehr wahrscheinlich, dass Heartbleed für Spionagetätigkeiten verwendet wurde, bevor es öffentlich bekannt wurde - es wird sicherlich für diese Zwecke verwendet, da es der Öffentlichkeit bekannt ist!
Wir wissen es einfach nicht
Wir wissen nur nicht, wie viel Schaden Heartbleed bisher angerichtet hat. Unternehmen, die dank Heartbleed zu Verstößen neigen, wollen oft vermeiden, peinliche Ankündigungen zu machen, die ihr Geschäft beeinträchtigen oder die Aktienkurse schädigen könnten. Es ist im Allgemeinen einfacher, sich intern mit dem Problem zu befassen, als es der Welt mitzuteilen.
In vielen anderen Fällen wissen die Dienste nicht, dass sie von Heartbleed gebissen wurden. Aufgrund der Art der Anforderung, die die Heartbleed-Sicherheitsanfälligkeit verwendet, werden Heartbleed-Angriffe in vielen Serverprotokollen nicht angezeigt. Es wird weiterhin in Netzwerkverkehrsprotokollen angezeigt, wenn Sie wissen, wonach Sie suchen müssen, aber nicht jede Organisation weiß, wonach Sie suchen müssen.
Es ist auch möglich, dass der Heartbleed-Bug in der Vergangenheit ausgenutzt wurde, bevor er öffentlich bekannt wurde. Es ist möglich, dass Cyberkriminelle oder - wahrscheinlicher - staatliche Überwachungsagenturen den Fehler entdeckt haben und ihn genutzt haben. Die Beispiele hier sind nur eine Momentaufnahme der wenigen Dinge, die wir kennen.
Der Hype ist berechtigt - es ist wichtig, dass Dienste und Geräte so schnell wie möglich auf den neuesten Stand gebracht werden, um den Schaden zu reduzieren und schlimmere Angriffe in der Zukunft zu vermeiden.
Bildnachweis: snoopsmas auf Flickr, ChrisDag auf Flickr
Erfahren Sie mehr über: Online-Sicherheit, SSL.