Skip to content

Unsech

Heute gibt es mal zwei Meldungen aus der Sicherheits-Ecke: Erstens gab es letzte Woche die Veröffentlichung, dass mit hunderttausend Dollar und größerem Rechenaufwand zwei Dokumente mit identischen SHA-1-Hashwerten gefunden wurden. Hashfunktionen werden in der IT genutzt, wenn es darum geht, längere Dateien durch kurze IDs zu identifizieren. In der Verschlüsselung werden zum Beispiel nicht ganze Dateien, sondern nur deren Hashwerte signiert, um zu beweisen, dass der Inhalt der Dateiecht wäre. Ebenso nutzen Versionsverwaltungssysteme Hashwerte, um Dateien zu identifizieren. Da ist es schlecht, wenn man mit Rechenaufwand zwei Dateien mit gleichen Hashwerten finden kann. Das ist noch kein 'ich habe hier eine Datei und baue dort eine zweite mit dem selben Hash'-Angriff, aber bis zu dem ist es jetzt nur noch eine Frage von Zeit und/oder Geld beziehungsweise Rechenkraft. Als Lösung empfehlen Leute mit Ahnung, man möge doch einen komplexeren, neueren Hashalgorhithmus nehmen. SHA-2 oder den noch neueren SHA-3. Die sind bisher nicht angreifbar.

Und dann schwappte am Freitag noch eine Meldung durch das Netz, dass bei Cloudflare Speicherdaten zu Webseitenverbindungen ausgetreten sind. Ähnlich dem berühmten Heartbleed-Leck gab es Fehler in deren Software, über die unter bestimmten Umständen Speicherbereiche öffentlich wurden. Nachdem das bekannt wurde, hat Cloudflare die betroffenen Funktionen ihrer Software deaktiviert, aber nachdem die Fehlerursache schon seit September bestanden hat, ist anzunehmen, dass einige Daten in Such-Indizes gelandet sind. Die größten davon hat Cloudflare kontaktiert und darum gebeten, dass die die Daten entfernen, aber es empfiehlt sich (mal wieder) Passwörter zu ändern.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!