Forum: Netzwelt
Sicherheitslücke goto fail: Was Apple-Nutzer jetzt tun müssen
SPIEGEL ONLINE

iPhones sind gefährdet, iPads und Mac-Rechner ebenfalls: Der Großteil der Apple-Geräte hat eine gravierende Sicherheitslücke. Für iPhone und iPad gibt es schon Updates, Mac-Nutzer müssen warten und höllisch aufpassen.

Seite 1 von 11
Wichlinghauser 24.02.2014, 12:11
1. War die Software mit dem angebissenen Apfel ...

... nicht immer supermegaziemlichobersicher?

Beitrag melden Antworten / Zitieren
Konstruktor 24.02.2014, 12:11
2.

Hier wird unverantwortlich eine völlige Hysterie geschürt, die nun auch wieder überzogen ist.

Die reale Wahrscheinlichkeit, über diesen Bug angegriffen zu werden, ist abseits von besonderen "Honigtöpfen" wie z.B. extrem frequentierten öffentlichen WLANs tatsächlich eher gering.

Die Laien-Mannschaft beim Spiegel hat ersichtlich Fachartikel zum Thema im Netz gelesen, kann aber die wirkliche Bedeutung nicht seriös einschätzen. Daher diese völlige Hysterie hier.

Der Bug ist ätzend und korrekturbedürftig, aber nicht extrem außergewöhnlich und er stellt auch keine extrem akute Gefahr da, wenn man ein bißchen aufpaßt und sich vorübergehend vorsichtig verhält.

Also keine Panik, aber wichtigen Datenverkehr sollte man nicht mehr über WLANs oder andere lokale Netze abwickeln, bei denen man nicht überblicken kann, wer sonst noch eingeloggt ist, und auch nicht über dubiose Netze (z.B. WLANs in Cafés oder bei unbekannten Leuten).

Die Angreifbarkeit ist auch über das Mobilnetz generell ein Stück geringer als über WLANs (aber nicht völlig ausgeschlossen).

Diese Regeln gelten eigentlich generell immer, nicht nur in Verbindung mit diesem Bug, aber jetzt noch in erhöhtem Maß.

Da der Fix für iOS ja schon vorliegt, sollte man ihn in einem vertrauenswürdigen Netz einspielen und das war's dann.

Bei Macs ist nur Mavericks betroffen, nicht die älteren Versionen. Dort wird der Fix wohl auch in Kürze eintreffen.

Beitrag melden Antworten / Zitieren
dt1011047 24.02.2014, 12:14
3. Panikmache

Ja, der SSL-Fehler ist gravierend. Aber deswegen werden trotzdem nicht gleich jedem Mac/iOS-Nutzer gleich alle geheimen Daten abgefangen, auch wenn es Angreifer drauf ansetzen würden. Denn dazu müssen sie erstmal Zugriff auf die Datenverbindung zw. Mac/iPhone/iPad und dem Ziel im Internet bekommen. Und das ist nicht sooo einfach, wie es hier oft übertriebenerweise suggeriert wird.

Ja, die NSA wird wohl kaum ein Problem damit haben. Das die sind nicht diejenigen, die es auf unsere Passwörter etc. abgesehen haben. Die professionellen "bösen" Angreifer, also die, die uns auch mit Viren und Würmern befallen lassen, sitzen (höchstwahrscheinlich) gar nicht an diesen zentralen Punkten, es sei denn, es hat eine Bande geschafft, die Knotenpunkte anzuzapfen, an die sonst wir nichtmal die NSA ranlassen wollen.

Nein, der übliche Angreifer sitzt auch nur irgendwo an einem Endpunkt des großen Internets und kommt nie an unsere Datenverbindung heran.

Die einzigen praktikablen Wege, da ranzukommen, sind:

1. WLAN. Wenn die Banden es schaffen, einen WLAN-Router zu übernehmen, können sie wg. dieses Bugs mithören. Aber dazu müßten sie jeden Router einzeln übernehmen. Das können die gar nicht bewerkstelligen. Aber ja - jemand könnte an einem offenen WLAN (McDo, Bahn?) sich selbst mit einem PC dranmachen und dort die Verbindungen belauschen. Das sind dann aber Einzelfälle, und man dann es vermeiden, indem man erstmal keine fremden offenen WLANs benutzt.

2. Jemand könnte die Daten heimlich umleiten zu seinem Rechner. Das geht nur, wenn er entweder Zugriff auf den benutzten Router oder den Mac hat, um die DNS-Auflösung zu beeinflussen. D.h, da muß er auch schon zuvor eingebrochen sein, sonst geht das nicht. Vielleicht baut nun ja jemand einen solchen Angriff, bei dem er in die noch nicht aktualisierten Fritz-Boxen einbricht, dort eine modifizierte Firmware einstellt und dann sowas tut. Aber erstens ist das auch nur Theorie (wer weiß, evtl. geht das eh nicht, weil die Firmware digital signiert ist, und der Angreifer daher keine gefälschte Firmware herstellen kann), und zweitens kann man sich davor schützen, indem man das Fritz.Box-Update einspielt, wie es die vorigen Wochen ja auch überall schon geraten wurde.

Ergo: Das Risiko ist längst nicht so hoch, wie hier geschrieen wird. Man kann immer noch von zu hause Bankgeschäfte online machen. Ich jedenfalls, der sich sich 30 Jahren mit Computern auskennt, habe da keine begründeten Befürchtungen.

Beitrag melden Antworten / Zitieren
sbo 24.02.2014, 12:15
4. Ich selbst hatte ...

... mehrere Apple Besitzer, ob iOS oder MacOS, darauf hingewiesen. Alle hatten davon noch nichts gehört und "auserdem wirds nicht so schlimm sein", war als Reaktion zur Sicherheitslücke. Wieso würde ich ein Update installieren, aber Apple User ignorieren das einfach? Bin ich zu ängstlich ;-) ?

Beitrag melden Antworten / Zitieren
Bazi 24.02.2014, 12:19
5.

Was mich interessiert: Bin ich nun auf der sicheren seite, wenn ich nur von meinem eigenen Wlan aus ins Internet gehe, oder bin ich auch da gefährdet? Vorausgesetzt natürlich, dass sich in meinem Netz kein Dritter rumtreibt.

Beitrag melden Antworten / Zitieren
dt1011047 24.02.2014, 12:28
6. Zuhause dürfte es noch recht sicher sein

Zitat von Bazi
Was mich interessiert: Bin ich nun auf der sicheren seite, wenn ich nur von meinem eigenen Wlan aus ins Internet gehe, oder bin ich auch da gefährdet? Vorausgesetzt natürlich, dass sich in meinem Netz kein Dritter rumtreibt.
Ebend! Deswegen auch mein Beitrag (#3). #2 Sieht's ja auch ähnlich :)

Selbst NSA und GCHQ kommen evtl. nicht an unsere Daten heran, denn damit sie das können, müssen sie schon jetzt, wenn wir z.B. eine https-Verbindung in die USA machen, diese abfangen und über ihre Lausch-Server umleiten. Dafür haben die vermutlich gar keine Kapazität - die sind genug damit beschäftigt, den Verkehr _aufzuzeichnen_. Denn nachträglich kann man diese SSL-Lücke nicht ausnutzen, d.h. wenn der verschlüsselte Verkehr von der NSA mitgeschrieben wird, kann die auch hinterher diese nicht entschlüsseln. Das geht nur, wenn man schon beim Verbindungsaufbau zu dem Server im Internet diesen übernimmt. Und da hakt es ja genau - da kommen die üblichen "bösen" aus Russland, Iran und so weiter nicht ran.

Beitrag melden Antworten / Zitieren
Konstruktor 24.02.2014, 12:29
7.

Zitat von Bazi
Was mich interessiert: Bin ich nun auf der sicheren seite, wenn ich nur von meinem eigenen Wlan aus ins Internet gehe, oder bin ich auch da gefährdet? Vorausgesetzt natürlich, dass sich in meinem Netz kein Dritter rumtreibt.
Solange der Router nicht kompromittiert ist (worum man sich kümmern sollte!) und auch bei den Leitungsprovidern bis zum Server keiner eingreift, ist man in einem ordentlich gesicherten WLAN (WPA2 mit gutem Paßwort) auch mit dem Bug nicht stark gefährdet.

Aber das Update sollte man trotzdem einspielen. Danach sollte die Zertifikats-Überprüfung wieder richtig funktionieren und das Thema ist erst mal wieder ein Stück weit durch – zumindest für die Software, die überhaupt verschlüsselt kommuniziert, denn unverschlüsselte Verbindungen sind im öffentlichen Raum (also z.B. öffentlichen WLANs) generell angreifbar und denen hilft auch dieser Fix natürlich nichts.

Auch SSL hat seine inhärenten Schwächen, aber derzeit sollte man es trotzdem benutzen, wenn es geht.

Beitrag melden Antworten / Zitieren
flaffi 24.02.2014, 12:32
8. Ganz einfach

Der Besitzer älterer Geräte guckt dumm aus der Wäsche

Beitrag melden Antworten / Zitieren
Rattenpudel 24.02.2014, 12:37
9. Als erfahrener Benutzer ...

der mit seinem Rechner den Lebensunterhalt bestreitet, weiß man, dass Apple bei Sicherheitsaktualisierungen nicht zu den schnellsten zählt (siehe immer wieder Java) und installiert neue Betriebssysteme eben entsprechend zögerlich. Ich kenne niemanden, der mit 10.9 ernsthaft arbeitet und die Lücke scheint bei den darunter liegenden OS-Generationen nicht zu bestehen. Außerdem: Wer, der auf Datensicherheit Wert legt, benutzt schon Safari ...

Beitrag melden Antworten / Zitieren
Seite 1 von 11