Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

SSL-Sicherheitslücke kann aktiv ausgenutzt werden

Auch gestern veröffentlichte Apple kein Sicherheitsupdate, um die schwere SSL-Sicherheitslücke zu schließen. Warum sich Apple derart viel Zeit lässt, ist nur schwer nachzuvollziehen, da es sich lediglich um eine einzige Code-Zeile einer offenen Komponente handelt, die angepasst werden muss und das Update für iOS bereits in der vergangenen Woche erschien. Einem Sicherheitsforscher ist es bereits gelungen, die Lücke so ausnutzen, dass der gesamte SSL-Datentransfer inklusive Nutzernamen, Passwörtern, Schlüsselbund und Daten aus Kalendern abgefangen werden konnte.


Seiner Ansicht nach war er bestimmt nicht der Erste, der die Sicherheitslücke zum Zugriff auf geschützte Daten verwendete. Über ein modifiziertes Proxy sei es für den Hacker nicht schwer, sensible Daten zu erlangen und alle Informationen auszuschnüffeln, die eigentlich über eine sichere Verbindung übermittelt werden sollten. Es bleibt zu hoffen, dass Apple heute noch ein Sicherheitsupdate oder OS X 10.9.2 inklusive geschlossener Sicherheitslücke freigibt. Bis dahin bleiben folgende Tipps aktuell, wie sich der Nutzer momentan schützen kann:

Weiterführende Links:

Kommentare

BudSpencer25.02.14 13:36
Unfassbar und sehr ärgerlich das Apple den Arsch nicht hochbekommt und die Lücke sofort Patch.

Ein "kleines" Unternehmen wie AVM löst das deren Sicherheitslücke professionell innerhalb kürzest möglicher Zeit und Apple....

Da bekommt man echt Wut auf Apple, wie ich es früher nur bei Microsoft versprüht habe.
0
jensche25.02.14 13:37
ich sage... in 3-4 wochen wird das gelöst sein.
0
hagen5325.02.14 13:45
Warum das so lange dauert? Zuerst muss der alternative Zugang für die NSA implementiert werden!!
0
Thomas Kaiser
Thomas Kaiser25.02.14 13:45
Hallo?! Wie kann man in einem Atemzug im Detail schildern, wie der Bug ausgenutzt werden kann und dann im anderen Atemzug so einen Bullshit behaupten wie im jetzt auch noch verlinkten Quatsch von gestern? "Als Faustregel gilt: Zuhause ist man bei entsprechend gesichertem WLAN-Zugang geschützt" ist gemeingefährlicher Blödsinn!

Hier wird im Detail beschrieben, was bspw. alles abseits Browser abgeschnorchelt werden kann und weshalb es auch idiotisch ist, zu glauben, durch einen Wechsel zu Firefox oder Chrome wäre man aus dem Schneider. Oder "zuhause" wäre alles prima.
0
BudSpencer25.02.14 13:53
Hört doch bitte mit eueren bescheuerten NSA Quatsch auf, das könnt ihr gerne sonst immer posten, stört mich ja nicht, ist mir egal, doch hier geht es um Sicherheit und nicht um euere NSA Paranoia.
0
dan@mac
dan@mac25.02.14 14:09
Thomas Kaiser
Hier wird im Detail beschrieben, was bspw. alles abseits Browser abgeschnorchelt werden kann und weshalb es auch idiotisch ist, zu glauben, durch einen Wechsel zu Firefox oder Chrome wäre man aus dem Schneider. Oder "zuhause" wäre alles prima.

Aber trotzdem muss es der Angreifer doch erst mal in mein Netz schaffen oder nicht?
0
mbh
mbh25.02.14 14:10
BudSpencer
[…] NSA Paranoia.
Gibt's sowas noch, i.S.v. ist sowas noch möglich?

Ich finde vor allem auch bedenklich, dass man als (registrierter) Mac-User seitens Apple keinerlei Nachricht oder dergleichen erhält, die bezüglich dieses Problems informiert.
0
mbh
mbh25.02.14 14:11
dan@mac
[…] Aber trotzdem muss es der Angreifer doch erst mal in mein Netz schaffen oder nicht?
Nein (nicht zwingend).
0
MacDub25.02.14 14:12
Wenn Tim Cook nicht völlig fern von jeder Realität in seinem Büro sitzt, sollte er jetzt mal gehörig Dampf bei seinen Mitarbeitern machen! Würde er sich mal auf den Newsseiten umschauen, sollte es im nicht entgehen, dass diese Sicherheitslücke in den Medien breit getreten wird und ein schlechtes Licht auf Apples Haltung gegenüber Sicherheitslecks in ihrer Software wirft.
0
Megaseppl25.02.14 14:15
BudSpencer
Ein "kleines" Unternehmen wie AVM löst das deren Sicherheitslücke professionell innerhalb kürzest möglicher Zeit und Apple....

AVM hier als Beispiel anzuführen halte ich für verkehrt. Die haben ebenfalls eklatante Fehler bei der Lösung des Problems und der Kommunikation zum Kunden gemacht: Von den ersten öffentlichen Berichten bis zu einer Update-Geräte-Abdeckung von 90% dauerte es bei AVM etwa 13 Tage (28.01-10.02). Auch nach etwa ~22 Tagen (19.02) gab es noch nicht für alle Geräte das nötige Update.
Über die Hintergründe des Bugs hat AVM geschwiegen bzw. nur sehr oberflächig auf die die WAN-myFritz-Funktion verwiesen - erst heise online kam der ganzen Ursache durch Reverse-Engineering auf die Spur: Die Konfiguration konnte von besuchten Webseiten ausgelesen werden, inkl. der Passwörter -unverschlüsselt. Davon aber kein Wort von AVM.
Was ich gut fand: Johannes Nill, Geschäftsführer von AVM, hat sich einigermaßen entschuldigt und sein Bedauern ausgedrückt.

Was mich bei Apple hier stört: Es scheint als wolle Apple den Bug mit 10.9.2 beheben statt ein kleines Sicherheitsupdate vorab herauszubringen. Zudem hätten sie diesen Bugfix gleichzeitig mit dem iOS-Update anbieten müssen und nicht erst nachdem der Bug in allen Details tagelang durch die Medien geht.
0
Marcel_75@work
Marcel_75@work25.02.14 14:19
Der fix von Sektion Eins aka Stefan Esser aka i0n1c scheint übrigens zu funktionieren:



Mittlerweile wird das ganze auch als ausführbares php-script angeboten, was es etwas einfacher macht für den durchschnittlich begabten Anwender.

Dabei wird ein Backup des originalen Frameworks in /System/Library/Frameworks/Security.framework/Versions/Current/Security angelegt (als Security.backup inklusive sha1-Hashprüfung), erst wenn das erfolgreich war, wird die originale Datei gepatcht (als Security.patched) und ebenfalls mit einem sha1-Hashwert überprüft. Sollte der Patch fehlschlagen, wird das Backup der Originaldatei wieder zurückgespielt.
Achtung: Es wird natürlich davon abgeraten, dies auf Produktivsystemen zu machen. Aber wer nicht warten will, bis Apple reagiert, hat so zumindest eine Möglichkeit ...
0
Dieter25.02.14 14:21
Der Fehler ist problematisch: JA!
Eine Man-In-The-Middle-Attac: Nicht so einfach. Leute auf gefälschte Seiten locken, DNS-Server kapern oder DNS Anfragen des Systems umbiegen.

Also die wahrscheinlichste Form es auszunutzen ist Leute auf gefälschte Seiten locken. Das geht beim Browser, ok, mal den Safari ne Weile nicht benutzen. Bei Mail stelle ich die Server expliziet ein, bei iMessage, iTunes sind die Server im Programm eingetragen, also müsste ich einen manipulierten DNS in Netz bekommen oder aber ich manipuliere die DNS-Auflösung auf dem Mac (z.B. /etc/hosts oder die Einträge der DNS in den Systemeinstellungen) ...

Wo ist mein Denkfehler?

Die Panne ist peinlich, sehr peinlich sogar, aber man muss es mal ins richtige Lot bringen. Bleibt mal auf dem Teppich und wart die Relationen.
0
Dieter25.02.14 14:28
Fix von AVM habe ich am 24.02.2014 gegen 4:00 auf meine Kabelfritz bekommen...
0
sierkb25.02.14 14:29
Marcel_75@work:

Neben Stefan Essers inoffiziellem Patch steht ein weiterer solcher bereit von Sophos (zur Veranschaulichung und zum Lernen):

Sophos nakedsecurity blog (24.02.2014): Anatomy of a "goto fail" - Apple's SSL bug explained, plus an unofficial patch for OS X!

Sophos nakedsecurity blog: Unofficial patch for the Apple SSL/TLS bug in SecureTransport 55741 (CVE-2014-1266) [url=nakedsecurity.sophos.com/unofficial-patch-for-the-apple-securetransport-55741-bug/]
0
Dieter25.02.14 14:35
In meinem Netz auf meinem Rechner kann ich Proxys/Pentesttools (z.B. ) installieren und alles darüber leiten. Aber ohne Anpassungen an meinen DNS- und Proxy-Einstellungen?
0
sierkb25.02.14 14:40
Dieter:

Du vergisst bei Deiner Betrachtung, dass Apple durch das getätigte iOS-Update diese Lücke betreffend und gleichzeitigem Nicht-Update für OSX ein 0-Day-Szenario geschaffen hat für alle Nutzer unter OSX. Sprich: die Lücke ist spätestens seit vergangenem Donnerstag/Freitag bzw. nach diesem Update jedem Deppen bekannt. Jede Minute, jede Stunde, jeder Tag, die seitdem ins Land gehen, ohne dass OSX bzgl. dieser Lücke geschützt ist, ist brandgefährlich!
Und wird garantiert ausgenutzt: so eine Steilvorlage und Einladung, den Mac ins Visier zu nehmen und nun erst recht in diese Lücke einzuhaken, lassen sich bestimmte Zeitgenossen doch nicht entgehen, sie bekommen grad' den Mac, bzgl. einer Schlüsselkomponente offen wie ein Scheunentor, geradezu auf einem Silberteller serviert!

Sogar eine von Apples ehemaligen Security-Ingenieurin, Hackerin Kristin Paget, reagiert mittlerweile (nachvollziehbar) ungehalten und verständnislos angesichts Apples langer Leitung: .
0
Thomas Kaiser
Thomas Kaiser25.02.14 14:40
dan@mac
Thomas Kaiser
Hier wird im Detail beschrieben, was bspw. alles abseits Browser abgeschnorchelt werden kann und weshalb es auch idiotisch ist, zu glauben, durch einen Wechsel zu Firefox oder Chrome wäre man aus dem Schneider. Oder "zuhause" wäre alles prima.

Aber trotzdem muss es der Angreifer doch erst mal in mein Netz schaffen oder nicht?

Nein, das ganze Problem hat genau gar nichts mit "Deinem Netz" bzw. nur am Rande zu tun. Und deshalb ist es unverantwortlich bis skandalös, dass hier eine "Technews"-Seite solchen Schwachsinn absondert wie gestrige Faustregel, man wäre in den eigenen 4 Wänden vor Man-in-the-Middle-Angriffen sicher!

Nochmal: Das Problem ist, dass Apple SSL kaputtgemacht hat. Damit sind beliebige Man-in-the-Middle-Attacken möglich ohne dass Du als User irgendwas davon mitbekommst.

Ein Beispiel: Ich kauf mir den Admin eines der großen Providers weltweit und lasse den mal eine Stunde lang die DNS-Records für icloud.com auf meinen eigenen Server zeigen. Die Router und Rechner all der vielen Apple-User draußen, die gerade noch so grenzwertig leichtsinnig sind und völlig ungeschützt mit ihren Mavericks-Kisten am Netz hängen, fragen genau jetzt den DNS-Record ab, weil irgendwas auf dem Mac "nach hause telefonieren" will (bspw. Keychain-Syncing). Der DNS-Record zeigt jetzt auf meinen Server, ein Client cached den jetzt (für sagen wir mal 24 Stunden) und in den nächsten 24 Stunden werden alle Macs, die in der fraglichen Stunde den DNS-Record abgefragt haben, allen Traffic Richtung iCloud über meinen Server laufen lassen. Ohne dass sie auch nur einen Hauch davon mitbekommen. Und dort sitzt jetzt mein mitmproxy und saugt Deine Apple-ID, Dein Kennwort, den Inhalt Deiner Keychain, usw. usf. ein.

Hier sind ein paar der Details beschrieben, was da alles abgefischt werden kann (aber der Autor wartet verantwortungsvollerweise auch noch solange bis diese Vollpfosten in Cupertino endlich den Fix dafür ausrollen): http://corte.si/posts/security/cve-2014-1266.html

Also nochmal: Es ist für derlei Angriffe sowas von extrem scheißegal, wo sich Dein ungepatchter Mac befindet. Die Angriffe können von irgendwoher a) auf dem Weg zum Ziel (bspw. irgendein Router irgendwo auf der Strecke zwischen Deinem Mac und dem Ziel -- also bspw. iCloud- oder Online-Banking-Server -- oder b) durch Umleitung/DNS-Spoofing oder c) durch Angriffe im lokalen Netz kommen. Und Du kannst Stand jetzt genau gar nichts dagegen tun, als entweder einen der unoffiziellen Fixes einzuspielen oder einzusehen, dass solange Dein Rechner ungepatcht ist, er vom Netz genommen werden muß, weil viel zu viele integrale Systembestandteile (unter anderem sogar der Software-Update-Mechanismus!) im Moment komplett oder teilweise kompromittierbar sind.

Dieser hirntote "zuhause bist Du sicher"-Tipp hier von MTN schützt gerade mal vor Situation c) -- glaubt denen bitte kein Wort. Das ist unverantwortlich, sowas zu verbreiten!

PS: Als Zuckerl noch folgende Denksportaufgabe zum Abschluß: Die Lücke ist ja in iOS schon jahrelang und in Mavericks wenigstens monatelang präsent gewesen... was bedeutet das nun eigentlich genau angesichts des oben Aufgezeigten, also einer simplen kurzen DNS-Attacke? Die nicht unbedingt beim DNS-Server des Providers ansetzen muß sondern genauso auf dem heimischen Internet-Access-Router oder auf irgendeinem Backbone-Router greifen würde...
0
sierkb25.02.14 14:45
Thomas Kaiser:

+1
0
Marcel_75@work
Marcel_75@work25.02.14 14:49
Leute, von "meinem Netz" und "da bin ich sicher" zu reden ist sowas von ...

Da fehlen einem echt die Worte.

PS: Ich sehe gerade, Thomas hat es netterweise ausführlich erläutert.
0
hausfreund25.02.14 14:55
Thomas Kaiser
Also nochmal: Es ist für derlei Angriffe sowas von extrem scheißegal, wo sich Dein ungepatchter Mac befindet. Die Angriffe können von irgendwoher a) auf dem Weg zum Ziel (bspw. irgendein Router irgendwo auf der Strecke zwischen Deinem Mac und dem Ziel -- also bspw. iCloud- oder Online-Banking-Server -- oder b) durch Umleitung/DNS-Spoofing oder c) durch Angriffe im lokalen Netz kommen. Und Du kannst Stand jetzt genau gar nichts dagegen tun, als entweder einen der unoffiziellen Fixes einzuspielen oder einzusehen, dass solange Dein Rechner ungepatcht ist, er vom Netz genommen werden muß, weil viel zu viele integrale Systembestandteile (unter anderem sogar der Software-Update-Mechanismus!) im Moment komplett oder teilweise kompromittierbar sind.

Wer sagt das ein Mac sicherer ist als andere Systeme?
0
tranquillity
tranquillity25.02.14 14:57
Ok Leute, mein Sicherheitstipp: Computer ausschalten, Karneval feiern und am Aschermittwoch das bis dahin sicherlich bereitgestellte Update von Apple einspielen. Alaaf!
0
Thomas Kaiser
Thomas Kaiser25.02.14 15:03
hausfreund
Wer sagt das ein Mac sicherer ist als andere Systeme?

Keine Ahnung. Vermutlich jemand, der auch drüber nachdenkt, ob Donnerstag gelber als hoch ist?!

Mit anderen Worten: Was hat diese Deine Frage mit der konkreten Problematik zu tun, dass Apple da monate-/jahrelang einen veritablen Super-Bug eingebaut hat, der vermutlich von interessierten Insidern schon die ganze Zeit und seit Freitag Dank Apples sensationeller Release-Praktik nun auch quasi von jedem Deppen ausgenutzt werden kann, der sich in Routing/Namensauflösung zwischen Macs und Servern reinzuhängen vermag? Und vor allem, dass sich die Betroffenen auch noch in Sicherheit wiegen, wenn sie ihren Mac in den eigenen 4 Wänden bzw. "Heimnetz" betreiben? Erzähl mal! Möglichst ohne dabei altbackene Allgemeinplätzchen zu servieren...
0
mbh
mbh25.02.14 15:15
Hat sich eigentlich schon jemand zum AppleTV geäußert? Da sieht es doch vermutlich nicht besser aus.
0
Dieter25.02.14 15:18
@sierkb
Ein Scheunentor ist was anderes, die Handlungsweise von Apple mal außen vor, gehst Du nicht auf das notwendige Szenario (DNS kapern) nicht ein.

Außerdem vergisst Du, dass ich mit 10.8.5 nicht betroffen bin.
0
Megaseppl25.02.14 15:21
mbh
Hat sich eigentlich schon jemand zum AppleTV geäußert? Da sieht es doch vermutlich nicht besser aus.
? Das Update für das AppleTV kam doch zeitgleich mit dem der anderen iOS-Geräte.
0
Thomas Kaiser
Thomas Kaiser25.02.14 15:24
mbh
Hat sich eigentlich schon jemand zum AppleTV geäußert? Da sieht es doch vermutlich nicht besser aus.

Das war im Gegensatz zu OS X wohl auch jahre- statt nur monatelang offen und der Fix erschien zeitgleich zu dem für iOS:

Mit anderen Worten: Wehe dem, der für iTunes-Store-Käufe keine separate Apple-ID generiert hat und ausschließlich diese auf dem Ding gespeichert hat! ("Aber hey, mein Apple-TV steht ja bei mir zuhause. Alles voll sicher und so!", "home, sweet home beats man-in-the-middle")
0
mbh
mbh25.02.14 15:24
Megaseppl & Thomas Kaiser

Ui, ist komplett an mir vorbeigegangen (Hab das Teil während der letzten Tage nicht genutzt). Danke.
0
Dieter25.02.14 15:26
Na ja @Thomas Kaiser mal eben einen DNS-Record bei einem DNS-Server ändern geht nicht so einfach. Da gibt es Kontroll- und Warnmechanismen zwischen den großen DNS-Servern. (NSA lasse ich jetzt mal außen vor)

Also bleibt das Kapern des Routers oder des Macs um die dortigen DNS-Server umzubiegen oder Proxys einzutragen.

Ganz klar nicht unmöglich, aber auch nicht schnell aus dem Ärmel geschüttelt.
0
BudSpencer25.02.14 15:31
Megaseppl
BudSpencer
Ein "kleines" Unternehmen wie AVM löst das deren Sicherheitslücke professionell innerhalb kürzest möglicher Zeit und Apple....

AVM hier als Beispiel anzuführen halte ich für verkehrt....dauerte es bei AVM etwa 13 Tage (28.01-10.02).

Nur das AVM am 28.01 noch nicht wusste wie die Angreifer ins System eindrigen und dies erst Analysiert werden musste. Nach dem es bekannt war, hat es keine 2 Tage gedauert und der Patch war da.
Megaseppl
Auch nach etwa ~22 Tagen (19.02) gab es noch nicht für alle Geräte das nötige Update.

Ich bitte dich!
Alle Aktuellen und alle Modele der letzten Jahren sind gefixt, das die keine 10 Jahre alten Geräte fixen ist doch klar.
0
zaph
zaph25.02.14 15:33
danke Thomas für die ausführlichen Erläuterungen !!
live long and prosper
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.