Heartbleed Exploit gegen soziale Netzwerke, Firmen, Terroristen & Co.

Veröffentlicht: 14. April 2014 in IT-Security
Schlagwörter:, , , , ,

◾Man fällt nicht über seine Fehler. Man fällt über seine Feinde, die diese Fehler ausnutzen!„- Kurt Tucholsky

heartbleed

Nachrichten über den Heartbleed-Bug, oder sollte ich sagen „Exploit“ haben wir nun wohl alle zur Genüge durch Zeitung, Radio oder Fernsehen zur Kenntnis genommen. Allerdings haben wohl die wenigsten Menschen verstanden wie dieser Bug ausgenutzt werden kann, oder wie dies konkret aussieht.

Das nachstehende Bild soll es auch dem nicht IT-Affinen Leser etwas näher bringen ;-)

Heartbleed erklärt

Zwischenzeitlich gibt es auch sehr gute Module für des Pentester oder Hackers liebstes Werkzeug.
Ausgerüstet mit selbigem ist man dann nicht nur in der Lage verwundbare Seiten/Geräte (die OpenSSL nutzen) zu finden, sondern auch ganz aktiv Daten von den betreffenden Seiten abzufishen! Wen oder was man damit generell ausspioniert sei mal dahingestellt….

Nehmen wir z.B. eine beliebige Seite die Verwundbar ist und wenden den Heartbleed-Bug darauf an.
Zu meiner Sicherheit sei hier nicht erwähnt, um welche Seite genau es sich dabei handelt.

 

Auch hier gilt natürlich wieder: nicht nachmachen, da strafbar!

 

 

 

 

 

 

 

 

 

Nachstehend das Ergebnis, wenn der Server seine Antwort zurück schickt. Man fordert lediglich mehr Daten an, als man ursprünglich an den Server als Request gesendet hat. Mehr steckt nicht dahinter! Wer es perfektionieren möchte kann sich natürlich seine Scripts so programmieren, dass nach speziellen Werten bzw. z.B. Informationen zu Userdaten (Passwort) oder gar Server-Schlüsseln geschaut wird. Dann ist der Bug/Exploit etwas gezielter anwendbar ;-)

[zum Vergrößern das Bild bitte anklicken]

Heartbleed-Bug

 

 

 

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s