Heartbleed / OpenSSL

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Heartbleed / OpenSSL

· Gepostet: 12.04.2014 - 13:27 Uhr · #1

Hallo Andreas,

die aktuelle OpenSSL-Sicherheitslücke betrifft zwar hauptsächlich Server, aber mich würde doch interessieren, ob B4x auch die OpenSSL-Bilbliothek mit dem Fehler benutzt.

infoman

Benutzer

Geschlecht:
Beiträge: 7395
Dabei seit: 06 / 2008

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 12.04.2014 - 13:55 Uhr · #2

warum verwendest du nicht die Suche: http://www.onlinebanking-forum…real105501

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 12.04.2014 - 14:18 Uhr · #3

Das ist aber was Anderes! In dem von Dir zitierten Post ging es um die noch nicht gefixte Lücke auf subsembly.com. Die Frage hier ist, ob das Programm die fehlerhafte Bibliothek auch selbst nutzt, um mit Bankrechnern direkt zu kommunizieren...

infoman

Benutzer

Geschlecht:
Beiträge: 7395
Dabei seit: 06 / 2008

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 12.04.2014 - 15:51 Uhr · #4

die Antwort von Andreas sehe ich mehrstufig.
korrekt zum einen die Homepage
zum anderen wurde jedoch auch die Verbindung angesprochen und hier liefert die Bank die SSL-Bibliothek.

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 12.04.2014 - 22:43 Uhr · #5

Zitat geschrieben von infoman

warum verwendest du nicht die Suche: http://www.onlinebanking-forum…real105501

hups - da hatte ich gar nicht gesucht (nur hier im B4W-Bereich)

Aber

Zitat

hier liefert die Bank die SSL-Bibliothek.

stimmt nicht. Ein Server "liefert" nie eine Bibliothek. Sondern jede Seite benutzt ihre eigene Implementation.
Dass die Banken derzeit (hoffentlich) alles tun, um ihre SSL-Implementation fehlerfrei zu bekommen ist klar.
Ich wollte halt erfahren, ob ich als Client was befürchten muss.
Man kann ja leider trotz aller Bemühungen nicht ganz ausschließen, dass man einen Trojaner an Bord hat

Klar wäre ein Trojaner immer schlecht. Aber mit einer HB-behafteten SSL-Verbindung könnte der diese (z.B. per hosts/DNS-Manipulation) auf einen eigenen Server umleiten und diesem Server meine ganzen PINs im Klartext zuschicken (an die er sonst vermutlich nicht rankäme).
Ich bin aber zu wenig in der ganzen SSL-Thematik drin, um sicher zu sein, dass so ein Szenario realistisch ist. Vielleicht weiß jemand anders mehr?

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 13.04.2014 - 08:37 Uhr · #6

chakaa, wie schon im anderen Thread erwähnt, mit deinen PIN's allein kann ein Trojaner oder heartbleed Ausnutzer wenig anfangen.
Der heartbleed ist von daher auch weniger ein Thema für das Banking als mehr für alle anderen nicht-TAN-gesicherten Vorgänge, wie z.B. Online Kaufhäuser, E-Mail usw.

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 13.04.2014 - 15:11 Uhr · #7

Zitat geschrieben von onlbanker

Der heartbleed ist von daher auch weniger ein Thema für das Banking

schön wär's ja.
Ich sehe es trotzdem als Gefahr (hier), derer wir uns bewusst sein sollten.

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 13.04.2014 - 19:18 Uhr · #8

chakaa, ist ja in Ordnung, wenn du eine Gefahr siehst. Jeder darf seine Meinung haben.
Für mich ist das keine Gefahr, mein Kontostand und meine Umsätze sind für niemanden interessant.
Was richtig gefährlich ist ist die Unaufmerksamkeit und Leichtgläubigkeit von Leuten beim Onlinebanking.

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 13.04.2014 - 20:07 Uhr · #9

@onlbanker: Dem kann ich mich nur heftigst anschließen!!

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 14.04.2014 - 12:01 Uhr · #10

naja wie dem auch sei - ich weiß leider immer noch nicht, ob B4x die OpenSSL-Bibliothek benutzt.

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 14.04.2014 - 15:19 Uhr · #11

chakaa, zu der Frage, wie wichtig OpenSSL bei Clients ist - selbst wenn es genutzt würde und der Fehler bestehen würde - kannst du hier mal lesen, was Olaf geschrieben hat: http://www.onlinebanking-forum.de/forum/topic.php?t=17433

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 14.04.2014 - 17:06 Uhr · #12

Zitat geschrieben von onlbanker

danke für den Link - aber das überzeugt mich auch nicht 100%ig.
Klar wird versucht, den Bug erstmal bei Bankservern auszunützen.
Und vermutlich wird B4W auch eher die Windows-Implementation (SChannel) benutzen.
Aber es wäre schon interessant, das bestätigt zu bekommen.

Wenn das Problem nämlich ignoriert und vergessen wird, könnte es doch sein, dass versehentlich auch in einem Jahr noch die fehlerhafte Library benutzt wird. Und was den :bandit: bis dahin einfällt, wissen wir alle noch nicht.
Bei Android sieht es noch düsterer aus. Dort sind bekanntlich Updates rar oder gar nicht mehr zu bekommen.

Also ihr könnt das ja gerne als theoretische Spinnerei ignorieren, aber ich hätte halt schon gerne gewusst, woran ich bin

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10838
Dabei seit: 03 / 2005

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 14.04.2014 - 17:28 Uhr · #13

Zitat geschrieben von chakaa

Wenn das Problem nämlich ignoriert und vergessen wird, könnte es doch sein, dass versehentlich auch in einem Jahr noch die fehlerhafte Library benutzt wird.

Na das darf natuerlich nicht passieren. Freilich muessen auch auf Client-Seite anfaellige OpenSSL-Versionen ersetzt werden. Idealerweise sollte dort ueberhaupt das ganze TLS-Heartbeat-Feature deaktiviert sein, denn aus meiner Sicht wird das in der Richtung ueberhaupt nicht benoetigt. Denn ich sehe keinen Grund, warum ein Server Keep-Alives an einen Client schicken sollte.

Ich finde aber wichtig, dass auch bei unbedarften Usern der Aufmerksamkeitsfokus dorthin gelenkt wird, wo akut was zu tun ist. Denn mich beschleicht der Verdacht, dass so mancher User denkt: "Sicherheitsluecke? Kein Problem, da spiele ich einfach Updates fuer die Programme ein, die ich installiert hab. Wenn's noch kein Update gibt, frag ich mal beim Hersteller oder im Forum."
Das ist das gewohnte Ritual aus den letzten Jahren. Flash updaten, Browser updaten, Windows updaten. Alles wieder gut. Hier aber eben nicht. Hier ist es nicht mit einem Update getan.Hier muessen Passwoerter und PINs geaendert werden, wenn die eigene Bank betroffen war.

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 14.04.2014 - 21:26 Uhr · #14

Zitat geschrieben von hibiscus

Hier muessen Passwoerter und PINs geaendert werden, wenn die eigene Bank betroffen war.

good point.
Wobei ja bekanntlich nichtmal die Bank feststellen kann, ob sie betroffen war.
(außer, wenn sie definitiv die fraglichen Versionen von OpenSSL nie benutzt hat)

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 14.04.2014 - 22:43 Uhr · #15

Zitat geschrieben von chakaa

Wobei ja bekanntlich nichtmal die Bank feststellen kann, ob sie betroffen war.

...potentiell betroffen war. *Erbsennnochmalnachzähl*

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 15.04.2014 - 00:48 Uhr · #16

Zitat geschrieben von msa

...potentiell betroffen war. *Erbsennnochmalnachzähl*

zähl lieber nochmal nach

(andersrum wird nämlich ein Schuh draus: wenn die HB-Versionen installiert waren, war sie potenziell betroffen, und die Bank weiß das. Aber ob sie von einem Angriff wirklich betroffen war, kann die Bank nicht feststellen)

Wichtiger als die Worte ist aber: man wird von der Bank keine Auskunft bekommen, ob sie potenziell betroffen war.

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 15.04.2014 - 07:07 Uhr · #17

chakaa, der Mitarbeiter in der Kundenberatung weiß das wahrscheinlich nicht. Aber ein Fachberater im EB bestimmt. Wen hast du denn gefragt?

subsembly

Benutzer

Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4583
Dabei seit: 11 / 2004

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 22.04.2014 - 08:58 Uhr · #18

Zitat geschrieben von chakaa

Hallo Andreas,

die aktuelle OpenSSL-Sicherheitslücke betrifft zwar hauptsächlich Server, aber mich würde doch interessieren, ob B4x auch die OpenSSL-Bilbliothek mit dem Fehler benutzt.

Guten Morgen,

ich war letzte Woche im Urlaub (schlechtes Timing). Kurze Antwort: Nein, wir nutzen kein OpenSSL sondern programmieren in C# unter .NET. Das bedeutet, dass unter Windows das Windows Eigene SSL verwendet wird. Unter MacOS, iOS und Android wird das SSL aus Xamarin (ursprünglich Mono) verwendet. Letzteres hatte den positiven Nebeneffekt, dass Banking 4i auch nicht vom SSL-Bug von Apple betroffen war.

subsembly

Benutzer

Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4583
Dabei seit: 11 / 2004

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 23.04.2014 - 10:32 Uhr · #19

Nur zur Info: Der Provider hat jetzt die Patches auf "subsembly.com" eingespielt.

chakaa

Benutzer

Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013

Betreff:

Re: Heartbleed / OpenSSL

· Gepostet: 25.04.2014 - 00:49 Uhr · #20

Hallo Andreas,

Zitat geschrieben von subsembly

Nein, wir nutzen kein OpenSSL

beruhigend; danke für die Auskunft.