Abo
  • Services:

SSL/TLS-Sicherheitslücke im Test bestätigt

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich

Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

Artikel veröffentlicht am ,

Der türkische Programmierer Anil Kurmus hat eine Lücke im SSL/TLS-Protokoll genutzt, um Zugangsdaten von Twitter-Benutzern auszulesen. Dabei injizierte er Code in den HTTPS-Datenstrom, während eine SSL/TLS-Verbindung neu verhandelt wurde. Der Codeschnipsel dechiffrierte die Zugangsdaten und sandte sie an Kurmus als Twitter-Feed.

Stellenmarkt
  1. Governikus GmbH & Co. KG, Bremen
  2. Hannover Rück SE, Hannover

Die Sicherheitslücke, die bislang nur in der Theorie bekannt war, war Mitte September 2009 entdeckt worden. Sie betrifft alle verschlüsselten Protokolle, die Verbindungen in zeitlichen Abständen erneut aushandeln (Renegotiation), etwa um frische Zertifikate auszutauschen. Twitter hat bereits reagiert und Renegotiation abgeschaltet.

Twitter ist allerdings auch ein leichtes Opfer gewesen. Jeder Tweet beinhaltet die Zugangsdaten eines Benutzers, die API des Microbloggers ist bekannt und es gibt zahlreiche Microblogging-Software, die die Fehlermeldung ignorieren, die eine solche Attacke auslösen würde.

Eine Expertengruppe arbeitet seit Ende September 2009 im Geheimen an der Beseitigung der Lücke, denn das SSL/TLS-Protokoll wird unter anderem bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Lediglich das OpenSSL-Projekt steht kurz vor einer Lösung.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. (-20%) 47,99€
  3. 399,99€ mit Vorbesteller-Preisgarantie
  4. 1,49€

Paeniteo 17. Nov 2009

Nein, heißt es nicht. Entweder benutzt du fürs Onlinebanking gar kein Clientzertifikat...

Open-SSL 17. Nov 2009

Wenn da nicht mal die Entwickler von SSLeay dahinterstecken ...


Folgen Sie uns
       


Ubitricity ausprobiert

Das Berliner Unternehmen Ubitricity hat ein eichrechtskonformes System für das Laden von Elektroautos entwickelt. Das Konzept basiert darauf, dass nicht die Säule, sondern der Kunde selbst für die Stromzählung sorgt.

Ubitricity ausprobiert Video aufrufen
Blackberry Key2 im Test: Ordentliches Tastatur-Smartphone mit zu vielen Schwächen
Blackberry Key2 im Test
Ordentliches Tastatur-Smartphone mit zu vielen Schwächen

Zwei Hauptkameras, 32 Tasten und viele Probleme: Beim Blackberry Key2 ist vieles besser als beim Keyone, unfertige Software macht dem neuen Tastatur-Smartphone aber zu schaffen. Im Testbericht verraten wir, was uns gut und was uns gar nicht gefallen hat.
Ein Test von Tobias Czullay

  1. Blackberry Key2 im Hands On Smartphone bringt verbesserte Tastatur und eine Dual-Kamera
  2. Blackberry Motion im Test Langläufer ohne Glanz

eSIM: Die Plastik-SIM-Karte ist noch lange nicht weg
eSIM
Die Plastik-SIM-Karte ist noch lange nicht weg

Ein halbes Jahr nach dem Ende der Verhandlungen um die eSIM bieten immerhin zwei von drei Netzbetreibern in Deutschland die fest verbaute SIM-Karte an. Doch es gibt noch viele Einschränkungen.
Von Archie Welwin


    Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
    Razer Blade 15 im Test
    Schlanker 15,6-Zöller für Gamer gefällt uns

    Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
    Ein Test von Marc Sauter

    1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
    2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

      •  /