Schon wieder, Millionen Emailadressen geklaut

Sieht so aus, als wäre dies erst der Anfang: Heartbleed (Open SSL Exploit)

Wenn das so stimmt, dass ohne Spuren zu hinterlassen quasi alle Daten abgegriffen werden können, dann frohe Weihnacht.

In meiner Einschätzung des Internets als bloße Spass- und Informationsmaschine fühle ich mich wieder einmal bestätigt.

Allein eine restriktive staatliche Regulierung könnte eine gewisse Sicherheit schaffen.

Aber wollen wir das?

Auf jeden Fall widersprächen restriktive staatliche Eingriffe den Intentionen des ursprünglichen Internet-Gedankens, der erst kürzlich in einen Streit um die Netz-Neutralität mündetete.

Wir werden uns schon entscheiden müssen, ob das Internet weiterhin ein anarchisch verwaltetes Medium bleiben oder ob es in seiner Gesamtheit Teil des staatlich regulierten Gemeinwesens werden soll.

Das gegenwärtige "Zwischending" halte ich jedenfalls für die am wenigsten wünschenswerte Lösung, weil sie in erster Linie die Nachteile beider Alternativen in sich vereint.

Zitat

Original geschrieben von frank_aus_wedau
Nichts desto trotz:

Ein wenig Klarheit wäre angebracht.

Dass uns das BSI einen fleischlosen Knochen vor die Füße wirft, halte ich für höchst unangemessen.

Mich kotzt die ganze Geschichte auch in höchsten Maßen an. Wenn schon Paranoia gemacht wird, dann bitte auch begründet.
So wie es jetzt läuft, könnte als Quelle auch irgendeine Statistik angeben, dass x % der deutschen gehackt wurden oder sonst was.

Ich hab langsam auch keine Lust mehr mir wegen diesen Aktion Gedanken zu machen. Mehr als irgendwelche Fakebestellungen können ja fast nicht vorkommen - und im Zweifel buch ich das Geld über die Bank zurück.

Ich denke schon wenn man es einen bei den geklaute Email-Adressen erwischt hat das man einen verseuchten oder mehrere verseuchte Rechner hat. Da hilft es auch wenig nur die Paßwörter zu ändern wenn ein Keylogger-Schadprogramm alle Tastatur-eingaben protokolliert. Da hilft zunächst nur das Betriebssystem völlig neu zu installieren. Selbstverständlich sollte dann sein das System immer auf auf den neuesten Stand zu halten. Firewall und aktueller Virenschutz sind ebenso Pflicht. Dann hat man die Gefahr zumindest erheblich eingedämmt. Selbstverständlich sollte man keine einfachen PW verwenden und niemals das gleichs PW mehrfach einsetzen. Ich war zum Glück bisher noch nicht betroffen.
Eine gute Info hierzu gibt es bei Teltarif:

http://www.teltarif.de/bsi-e-mail-check/news/55168.html

Zitat

Original geschrieben von Thomas201
Mich kotzt die ganze Geschichte auch in höchsten Maßen an. Wenn schon Paranoia gemacht wird, dann bitte auch begründet.

Es ist begründet. Eine Sicherheitslücke im OpenSSL bedeutet, dass keine verschlüsselte Seite wirklich verschlüsselt ist bzw. dass man einen Hebel ansetzen konnte um die Verbindung dennoch zu knacken.

Die "guten Jungs" haben das jetzt festgestellt, aber es weiß eben keiner, seit wann die "bösen Jungs" die Lücke nutzen. Denkbar wäre auch, dass letztere die Lücke nicht benutzt haben, aber den Traffic seit langem mitschneiden und die gewonnenen Informationen später in aller Ruhe ausnutzen.

Mit Paranoia hat das nüscht zu tun, das ist schon ein ganz, ganz dickes Ding.

Hier entlang...
klick
klack

Zitat

Original geschrieben von bernbayer
Ich denke schon wenn man es einen bei den geklaute Email-Adressen erwischt hat das man einen verseuchten oder mehrere verseuchte Rechner hat.

Auch wennd as theoretisch möglich ist, tippe ich weiterhin auf Foren o.ä. als Quelle.

Bei mir ist ja laut Testseite auch nur eine Mailadresse betroffen, die ich eben nicht für Einkäufe etc. verwende und über die ich mich auch nicht auf mein Mailkonto einlogge. Wäre mein Rechner befallen, hätten die ganz andere Mail-Passwort-Kombinationen abgreifen können.

Zitat

Original geschrieben von Printus
Es ist begründet. Eine Sicherheitslücke im OpenSSL bedeutet, dass keine verschlüsselte Seite wirklich verschlüsselt ist bzw. dass man einen Hebel ansetzen konnte um die Verbindung dennoch zu knacken.

Die "guten Jungs" haben das jetzt festgestellt, aber es weiß eben keiner, seit wann die "bösen Jungs" die Lücke nutzen. Denkbar wäre auch, dass letztere die Lücke nicht benutzt haben, aber den Traffic seit langem mitschneiden und die gewonnenen Informationen später in aller Ruhe ausnutzen.

Mit Paranoia hat das nüscht zu tun, das ist schon ein ganz, ganz dickes Ding.

Ich wollte damit sagen, dass es mich ankotzt, dass man keine wirklichen Informationen über die Quellen erhält.
Die müssen ja wissen, woher sie ihre Informationen haben.
War wohl etwas missverständlich von mir formuliert.

Wenn man dem (mir jedenfalls) gestern bekannt gewordenen Bericht in der ARD*) Glauben schenken kann, speichert die NSA allein in Deutschland monatlich 522 Mio. (!) Datensätze. Wer sagt uns eigentlich, dass die Quelle allen Übels nicht in diesen Datensätzen steckt?

Das würde zumindest erklären können, warum sich alle Beteiligten auf offizieller Seite dermaßen zugeknöpft geben. Stünde das Leck mit der Überwachungspraxis von Geheimdiensten in Zusammenhang, käme mancher Verantwortliche in erhebliche Erklärungsnot.

Warum der Vorsitzende des NSA-Untersuchungsausschusses gerade heute (oder gestern?) die Brocken hingeworfen hat, ist für mich auch noch nicht ganz klar. Die offizielle Erklärung klingt für mich ein wenig fadenscheinig.

*) Edit:
Leider weiß ich nicht mehr, in welchem Magazin ich gestern Abend beim Zappen über diesen Bericht gesolptert bin. Auf jeden Fall war es ein öffentlich-rechtlicher Sender, wahrscheinlich ARD oder ZDF.

Zitat

Original geschrieben von Thomas201
Ich wollte damit sagen, dass es mich ankotzt, dass man keine wirklichen Informationen über die Quellen erhält.
Die müssen ja wissen, woher sie ihre Informationen haben.
War wohl etwas missverständlich von mir formuliert.

Die Lücke entdeckt haben finnische Sicherheitsexperten und zeitgleich ein Google-Mitarbeiter. Das erfährt man ja auch überall. Dieses Wissen hilft aber wenig weil man damit trotzdem nicht weiß, wer die Lücke wann ausgenutzt hat oder ausnutzen konnte.

Ich denke, dass die Unruhe überall da aufkam - und spätestens jetzt auch noch den Letzten aufschreckt - wo Serverbetreiber sich darüber klar wurden, dass ihre Verschlüsselungen angesichts des Lecks nicht mehr sicher sind. Es bedarf keiner Geheiminformationen, jeder Serverbetreiber weiß ja, mit welcher Verschlüsselung er arbeitet.

Betroffene IT-Fachleute sind jedenfalls seit gestern richtig am rotieren.

Ich denke, dass die NSA und anderweitige Betrüger - ist fast dasselbe - mitunter auch parallel arbeiten. Wahrscheinlich gibt es nicht nur einen Nerd, der sich im Cyberwar befindet, sondern diverse Mitspieler mit ganz unterschiedlichen Motivationen: NSA und Co. um Daten auszuspionieren, Betrüger um Kohle zu machen, Nerds um Lücken im System zu finden oder sich die Genugtuung zu verschaffen, erfolgreich in irgendwelche Netzwerke eindringen zu können.

Der Rücktritt des Vorsitzenden des NSA-Untersuchungsausschusses ist eine Lachnummer. Wie kann man darüber streiten, ob Snowden in dieser Sache befragt werden soll? In jedem Gerichtsverfahren wäre absolut sonnenklar, dass er der wichtigste Zeuge und selbstverständlich zu befragen ist. Ob er dann zur Vernehmung erscheinen würde oder nicht steht auf einem ganz anderen Blatt. Aber ernsthaft zu diskutieren, ob er überhaupt gehört werden soll, ist vollkommen lächerlich.
Insofern stimme ich dir, Frank, zu. Hier wird wieder mal in typischer Manier, wie die CDU und die Kanzlerin schon in der ganzen NSA-Affaire agieren, herumgeeiert um Nebenkriegsschauplätze zu eröffnen und in der Sache absolut unbeweglich zu bleiben.

So einfach ist es auch nicht. Es wurden ca. 18 Millionen Email-Adressen geklaut, davon sollen ca. 3 Millionen in Deutschland betroffen sein. Ist also ein internationales Problem. Verschwörungstheorien und vermutete Zusammenhänge mit der NSA-Spähaffäre ohne konkreten Anhaltspunkte sind da wenig hilfreich. Die NSA hat doch sicher kein Interesse daran Spamails zu verschicken oder betrügerische Einkäufe zu tätigen. Ich halte das mit der NSA in diesen Zusammenhang für ziemlich abwegig.