21.09.11 17:30 Uhr
 6.878
 

Hacker-Experten: "Https" ist nicht mehr sicher

Erstmals ist es Hackern gelungen, eine bekannte Sicherheitslücke bei der Datenübertragung per Https (Hypertext Transfer Protocol Secure) auszunutzen. Per "man in the middle"-Methode konnten Sitzungen beim Internetbanking, Onlinehandel, sowie Instant Messaging abgehört werden.

Der Vietnamese Thai Duong und der Argentinier Juliano Rizzo schrieben in JavaScript einen Proof-of-concept-Code. Mit ihrem Programm BEAST ist es den beiden anerkannten Hackern gelungen, über ein kompliziertes Verfahren verschlüsselte SSL und TLS-Daten zu knacken.

Die Sicherheitslücke könnte laut den Experten geschlossen werden, wenn die Browser von TLS 1.0 auf eine höhere Version updaten würden. Doch die Updates legen diverse Funktionen der Webseiten lahm und werden deshalb kaum genutzt. Eine Ausnahme stellt bisher nur der Browser Opera 10 dar.


WebReporter: sicness66
Rubrik:   High Tech
Schlagworte: Internet, Sicherheit, Hacker, Browser
Quelle: www.handelsblatt.com

DAS KÖNNTE DICH AUCH INTERESSIEREN

Empörung über "frauenfeindliche" App: Frauen werde ohne Schminke gezeigt
Firefox 57: Mozilla verleit seinem Browser neuen Schub
Jamaika-Sondierungen: Nur noch Glasfaser soll gefördert werden

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

16 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
21.09.2011 18:28 Uhr von blz
 
+48 | -0
 
ANZEIGEN
aber zuerst muss man mal in die "Man in the Middle" Position kommen.
Ich persönlich glaube, das mit genügend Personal und Finanziellem Einsatz alles Hack und Manipulierbar ist. Die Frage ist aber immer, ob das Ergebnis der Mühe wert ist.
Und das war schon vor 200Jahre so, z.b. bei einem Safe.
Kommentar ansehen
21.09.2011 18:35 Uhr von Pils28
 
+14 | -2
 
ANZEIGEN
Diese Form des Angriffs kalt bisher nur als: rein theoretisches Risiko und wurde vorher noch nie erfolgreichkonkretisiert. Nun, wo es den ersten Code gibt dauert es nicht mehr lange, bis ihn jemand in die Praxis bringt. Aber ja, 100% sicher ist lediglich, den Stecker zu ziehen.
Kommentar ansehen
21.09.2011 19:54 Uhr von Peter323
 
+3 | -7
 
ANZEIGEN
blz: jo wie du sagst, kaum praktizierbar!
Der 08/15 DSL Kunde hat in der Regel kein man in the middle.
Die einzigsten Gefahren, die ich da sehe, sind z.B. Uni- oder Geschäftsnetzwerke oder public hotspots.
Aber ganz ehrlich, der Aufwand ist viel zu groß.
Wenn müsste es Tools geben, die das ganze wesentlich vereinfachen.
Kommentar ansehen
21.09.2011 20:38 Uhr von zzero
 
+1 | -18
 
ANZEIGEN
Kommentar ansehen
21.09.2011 20:59 Uhr von PumaDAce
 
+1 | -4
 
ANZEIGEN
Irgendwie alt: Kommt mir auch relativ alt vor.

Erinnere mich trüb dass das auch mit Cain & Abel funktioniert via ARP (man in the middle).
Kommentar ansehen
21.09.2011 21:03 Uhr von zzero
 
+0 | -3
 
ANZEIGEN
geeenau.
Kommentar ansehen
21.09.2011 23:52 Uhr von TendenzRot
 
+9 | -0
 
ANZEIGEN
@zzero: Ne, ja, is klar: Ist doch immer wieder erstaunlich, was sich hier für "Experten" rumtreiben. Lass mich raten... Vor zehn Jahren hast Du deine erste Spielekonsole bekommen?
Kommentar ansehen
22.09.2011 00:05 Uhr von TendenzRot
 
+1 | -0
 
ANZEIGEN
@blz, @Peter323: Die Aussicht auf die schnelle Mark setzt allerhand an krimineller Energie frei. Auch bei Providern arbeiten nur Menschen. Und diese Menschen haben u.U. Probleme welche sie nach Erhalt einer gewissen Summe lösen könnten. So ziemlich jeder hält Politiker für käuflich, warum sollten Mitarbeiter einer Bank, eines Telekommunikationsanbieters, usw. dies nicht sein?
Kommentar ansehen
22.09.2011 07:11 Uhr von jpanse
 
+2 | -2
 
ANZEIGEN
Jetzt haben die ganzen DAUS: wieder was wo sie sich drauf stürzen können wenn mal wieder jemand seine Kontodaten via Mail irgendwo bestätigt hat, natürlich inkl. TAN und am nächsten Tag das Konto leer ist.

Solange es genügend deppen gibt die ihre OnlineBankingdaten unter die Tastatur kleben, PostIT am Monitor, Textdateien auf dem PC...usw usw. sind Hacks wie dieser völlig uninteressant.

Ich war kürzlich mit meinem Hund unterwegs..was muss ich da im vorbeigehen miterleben...da sitzt einer am späten Abend am Rechner, im Raum war stockdunkel, lediglich am schreibtisch war eine kleine Lampe an. Ich konnte alles genau sehen was er da gemacht hat...sogar den Block mit den iTan konnte ich sehen :)
Kommentar ansehen
22.09.2011 09:24 Uhr von Suppen.Kasper
 
+2 | -1
 
ANZEIGEN
Das ist halt überhaupt nichts neues.

JEDE Verschlüsselungsmethode, bei der erst die Schlüssel ´ausgehandelt´ werden müssen ist per Man-in-the-middle angreifbar!

Das ist bekannt und KEINE News. Jedoch ist es bei einem technisch zumindest etwas versierten Nutzer schwer, in diese Position zu kommen.

Was soll man denn tun? Für JEDE Website, die SSL oder TLS nutzt, eine Seite per Post schicken, auf der der persönliche Schlüssel geschrieben steht?! HAHA.
Kommentar ansehen
22.09.2011 11:44 Uhr von Haarwurm
 
+0 | -0
 
ANZEIGEN
@Peter323: "Der 08/15 DSL Kunde hat in der Regel kein man in the middle."

Falls du mit diesem etwas merkwürdig geschrieben Satz meinst, dass ein normaler DSL Kunde kein Man-in-the-middle Angriff befürchten muss, muss ich dich leider korrigieren. Das ist möglich, recht einfach und für den Anwender nicht erkennbar.
Man-in-the-middle heißt nicht, das man physikalischen Zugriff auf die Internetanbindung hat. Eine Software, die den gesamten Datenverkehr zu einem "Hacker" umleitet reicht schon aus.
Kommentar ansehen
22.09.2011 13:22 Uhr von wolfspirit
 
+0 | -0
 
ANZEIGEN
News nicht ganz richtig. Wenn man Javascript in eine Seite via XSS einbauen kann, dann ist es weiterhin kein Problem diese Seite nach seinen wünschen zu manipulieren. Das interessante ist eher die XSS Lücke bei Paypal (falls sie ein haben).

Hier geht auch eher um das auslesen des SSL-Cookies.
Diese werden ja (wie die Seite) verschlüsselt an den Server gesendet. Was da gemacht wird ist den Client dazu zu bringen einen dem Hacker bekannten Wert an den Server zu übertragen. Dadurch kennt der Hacker sowohl den bekannten, als auch den verschlüsselten und kann dadurch schneller auf den Key der Verbindung schließen.

@Suppen.Kasper:
Eine Verschlüsselung bei der der Key ausgehandelt werden muss ist sicher, wenn der Key anhand eines von einer CA ausgestellten Zertifikats erstellt wird. Genau das ist bei SSL der Fall. Das Zertifikat enthällt ein publickey. Mit dem der Schlüssel verschlüsselt wird. Nur der Server kennt dessen privatkey. Wenn die CA-Kette dann noch stimmt kann man sich (vorausgesetzt es gab keinen CA-Hack des Zertifikats) sicher sein, dass das Zertifikat echt ist.
Kommentar ansehen
22.09.2011 15:07 Uhr von Suppen.Kasper
 
+0 | -0
 
ANZEIGEN
@wolfspirit: Wenn trotzdem einer zwischendrin hockt, kann er dem unwissenden Nutzer auch etwas vorgaukeln. ;) SSL-Proxy und so.
Kommentar ansehen
22.09.2011 15:34 Uhr von zkfjukr
 
+0 | -0
 
ANZEIGEN
KEINE HACKER: Sondern IT-Sicherheitsexperten da diese das für Geld machen!
Leute lernt endlich unterschied zwischen: Hacker, Internet-Aktivisten, IT-Sicherheitsexperten und Scriptkiddie!
Kommentar ansehen
22.09.2011 15:43 Uhr von wolfspirit
 
+1 | -0
 
ANZEIGEN
@Suppen.Kasper: Dann kann er aber nur ein anderes Zertifikat vorgaukeln. Entweder er hat eins für die Domain gekauft (ich wette, dass dir kein Zertifikat für paypal.com ausgestellt wird ;) ), aber das war ja das Problem der CA-Hacks wo Hacker sich bei einer CA (diginotar) selbst Zertifikate für bestimmte Domains ausgestellt haben (sie habe sogar versucht für *.* ein Zertifikat zu bekommen), oder er hat eins selbst signiert.

Du musst, egal wie, ein Zertifikat von einer dem Browser vertrauenswürdigen CA haben um eine man-in-the-middle zu starten. SSL-Proxys für Firmen nutzen meist ein Firmeneigenes CA, dass auf allen Firmen-Computern getrusted ist.

Ansonsten meldet der Browser eine Warnmeldung und bei Paypal wäre ich zumindest dann alarmiert ;). Okay es gibt genügend User die das einfach wegklicken.

@vorredner:
"Leute lernt endlich unterschied zwischen: Hacker, Internet-Aktivisten, IT-Sicherheitsexperten und Scriptkiddie!"
Das sagt der richtige.
Die Definition von Hacker = IT-Experte.
Den Unterschied den du meinst ist wohl eher Hacker, Cracker und Scriptkiddie.
Der Aufschrei von dir sollte eher bei News wie "Hacker haben REWE Webseite verändert" fallen. Da wäre es angebrachter.



[ nachträglich editiert von wolfspirit ]
Kommentar ansehen
22.09.2011 20:26 Uhr von Peter323
 
+0 | -0
 
ANZEIGEN
@Haarwurm: Das was du meinst iss ein Trojaner und da lässt man sicherlich nicht den ganzen Traffic weiterleiten, sondern nur Passwörter, cookies, Zertifikate oder Session IDs, die dann direkt extrahiert werden und mit denen man dann die ganze Sitzung übernehmen kann. Wenn man schon so einen heftigen Zugriff auf den Rechner hat, brauch man kein Traffic mehr mitschneiden, dann arbeitet man auf Applicationsebene.

Typische Man in the middle Attacken macht man durch Switche, Hubs oder Router, am Zielrechner selbst hat man ganz andere Möglichkeiten.

Refresh |<-- <-   1-16/16   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2017 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

AfD Saarland: Abstimmung über IQ-Test für Neumitglieder
Thailänderin prophezeit Vermögen zu ihrem Tod: Ihre Sarg-Nummer sind Lottogewinn
Erste Schaffnerin Frankreichs bekommt 120.000 Euro Entschädigung wegen Sexismus


...oder unseren und keine aktuellen News mehr verpassen?