21.09.11 17:30 Uhr
 6.870
 

Hacker-Experten: "Https" ist nicht mehr sicher

Erstmals ist es Hackern gelungen, eine bekannte Sicherheitslücke bei der Datenübertragung per Https (Hypertext Transfer Protocol Secure) auszunutzen. Per "man in the middle"-Methode konnten Sitzungen beim Internetbanking, Onlinehandel, sowie Instant Messaging abgehört werden.

Der Vietnamese Thai Duong und der Argentinier Juliano Rizzo schrieben in JavaScript einen Proof-of-concept-Code. Mit ihrem Programm BEAST ist es den beiden anerkannten Hackern gelungen, über ein kompliziertes Verfahren verschlüsselte SSL und TLS-Daten zu knacken.

Die Sicherheitslücke könnte laut den Experten geschlossen werden, wenn die Browser von TLS 1.0 auf eine höhere Version updaten würden. Doch die Updates legen diverse Funktionen der Webseiten lahm und werden deshalb kaum genutzt. Eine Ausnahme stellt bisher nur der Browser Opera 10 dar.


Videoplayer auf dieser Seite ausblenden
WebReporter: sicness66
Rubrik:   High Tech
Schlagworte: Internet, Sicherheit, Hacker, Browser
Quelle: www.handelsblatt.com

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

Datenschutzbehörden testeten: Mängel bei Wearables mit Gesundheitsfunktionen
Erster Führerloser Flieger im Betrieb
E-Mail-Anbieter im Vergleich: Stiftung Warentest kritisiert Gmail und Outlook

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

16 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
21.09.2011 18:28 Uhr von blz
 
+48 | -0
 
ANZEIGEN
aber zuerst muss man mal in die "Man in the Middle" Position kommen.
Ich persönlich glaube, das mit genügend Personal und Finanziellem Einsatz alles Hack und Manipulierbar ist. Die Frage ist aber immer, ob das Ergebnis der Mühe wert ist.
Und das war schon vor 200Jahre so, z.b. bei einem Safe.
Kommentar ansehen
21.09.2011 18:35 Uhr von Pils28
 
+14 | -2
 
ANZEIGEN
Diese Form des Angriffs kalt bisher nur als: rein theoretisches Risiko und wurde vorher noch nie erfolgreichkonkretisiert. Nun, wo es den ersten Code gibt dauert es nicht mehr lange, bis ihn jemand in die Praxis bringt. Aber ja, 100% sicher ist lediglich, den Stecker zu ziehen.
Kommentar ansehen
21.09.2011 19:54 Uhr von Peter323
 
+3 | -7
 
ANZEIGEN
blz: jo wie du sagst, kaum praktizierbar!
Der 08/15 DSL Kunde hat in der Regel kein man in the middle.
Die einzigsten Gefahren, die ich da sehe, sind z.B. Uni- oder Geschäftsnetzwerke oder public hotspots.
Aber ganz ehrlich, der Aufwand ist viel zu groß.
Wenn müsste es Tools geben, die das ganze wesentlich vereinfachen.
Kommentar ansehen
21.09.2011 20:38 Uhr von zzero
 
+1 | -18
 
ANZEIGEN
Kommentar ansehen
21.09.2011 20:59 Uhr von PumaDAce
 
+1 | -4
 
ANZEIGEN
Irgendwie alt: Kommt mir auch relativ alt vor.

Erinnere mich trüb dass das auch mit Cain & Abel funktioniert via ARP (man in the middle).
Kommentar ansehen
21.09.2011 21:03 Uhr von zzero
 
+0 | -3
 
ANZEIGEN
geeenau.
Kommentar ansehen
21.09.2011 23:52 Uhr von TendenzRot
 
+9 | -0
 
ANZEIGEN
@zzero: Ne, ja, is klar: Ist doch immer wieder erstaunlich, was sich hier für "Experten" rumtreiben. Lass mich raten... Vor zehn Jahren hast Du deine erste Spielekonsole bekommen?
Kommentar ansehen
22.09.2011 00:05 Uhr von TendenzRot
 
+1 | -0
 
ANZEIGEN
@blz, @Peter323: Die Aussicht auf die schnelle Mark setzt allerhand an krimineller Energie frei. Auch bei Providern arbeiten nur Menschen. Und diese Menschen haben u.U. Probleme welche sie nach Erhalt einer gewissen Summe lösen könnten. So ziemlich jeder hält Politiker für käuflich, warum sollten Mitarbeiter einer Bank, eines Telekommunikationsanbieters, usw. dies nicht sein?
Kommentar ansehen
22.09.2011 07:11 Uhr von jpanse
 
+2 | -2
 
ANZEIGEN
Jetzt haben die ganzen DAUS: wieder was wo sie sich drauf stürzen können wenn mal wieder jemand seine Kontodaten via Mail irgendwo bestätigt hat, natürlich inkl. TAN und am nächsten Tag das Konto leer ist.

Solange es genügend deppen gibt die ihre OnlineBankingdaten unter die Tastatur kleben, PostIT am Monitor, Textdateien auf dem PC...usw usw. sind Hacks wie dieser völlig uninteressant.

Ich war kürzlich mit meinem Hund unterwegs..was muss ich da im vorbeigehen miterleben...da sitzt einer am späten Abend am Rechner, im Raum war stockdunkel, lediglich am schreibtisch war eine kleine Lampe an. Ich konnte alles genau sehen was er da gemacht hat...sogar den Block mit den iTan konnte ich sehen :)
Kommentar ansehen
22.09.2011 09:24 Uhr von Suppen.Kasper
 
+2 | -1
 
ANZEIGEN
Das ist halt überhaupt nichts neues.

JEDE Verschlüsselungsmethode, bei der erst die Schlüssel ´ausgehandelt´ werden müssen ist per Man-in-the-middle angreifbar!

Das ist bekannt und KEINE News. Jedoch ist es bei einem technisch zumindest etwas versierten Nutzer schwer, in diese Position zu kommen.

Was soll man denn tun? Für JEDE Website, die SSL oder TLS nutzt, eine Seite per Post schicken, auf der der persönliche Schlüssel geschrieben steht?! HAHA.
Kommentar ansehen
22.09.2011 11:44 Uhr