Compyblog

Heute gibt es mal zwei Meldungen aus der Sicherheits-Ecke: Erstens gab es letzte Woche die Veröffentlichung, dass mit hunderttausend Dollar und größerem Rechenaufwand zwei Dokumente mit identischen SHA-1-Hashwerten gefunden wurden. Hashfunktionen werden in der IT genutzt, wenn es darum geht, längere Dateien durch kurze IDs zu identifizieren. In der Verschlüsselung werden zum Beispiel nicht ganze Dateien, sondern nur deren Hashwerte signiert, um zu beweisen, dass der Inhalt der Dateiecht wäre. Ebenso nutzen Versionsverwaltungssysteme Hashwerte, um Dateien zu identifizieren. Da ist es schlecht, wenn man mit Rechenaufwand zwei Dateien mit gleichen Hashwerten finden kann. Das ist noch kein 'ich habe hier eine Datei und baue dort eine zweite mit dem selben Hash'-Angriff, aber bis zu dem ist es jetzt nur noch eine Frage von Zeit und/oder Geld beziehungsweise Rechenkraft. Als Lösung empfehlen Leute mit Ahnung, man möge doch einen komplexeren, neueren Hashalgorhithmus nehmen. SHA-2 oder den noch neueren SHA-3. Die sind bisher nicht angreifbar.

Und dann schwappte am Freitag noch eine Meldung durch das Netz, dass bei Cloudflare Speicherdaten zu Webseitenverbindungen ausgetreten sind. Ähnlich dem berühmten Heartbleed-Leck gab es Fehler in deren Software, über die unter bestimmten Umständen Speicherbereiche öffentlich wurden. Nachdem das bekannt wurde, hat Cloudflare die betroffenen Funktionen ihrer Software deaktiviert, aber nachdem die Fehlerursache schon seit September bestanden hat, ist anzunehmen, dass einige Daten in Such-Indizes gelandet sind. Die größten davon hat Cloudflare kontaktiert und darum gebeten, dass die die Daten entfernen, aber es empfiehlt sich (mal wieder) Passwörter zu ändern.