Abo
  • Services:

SSL/TLS-Sicherheitslücke im Test bestätigt

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich

Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

Artikel veröffentlicht am ,

Der türkische Programmierer Anil Kurmus hat eine Lücke im SSL/TLS-Protokoll genutzt, um Zugangsdaten von Twitter-Benutzern auszulesen. Dabei injizierte er Code in den HTTPS-Datenstrom, während eine SSL/TLS-Verbindung neu verhandelt wurde. Der Codeschnipsel dechiffrierte die Zugangsdaten und sandte sie an Kurmus als Twitter-Feed.

Stellenmarkt
  1. Endress+Hauser Wetzer GmbH + Co. KG, Nesselwang
  2. Landeshauptstadt München, München

Die Sicherheitslücke, die bislang nur in der Theorie bekannt war, war Mitte September 2009 entdeckt worden. Sie betrifft alle verschlüsselten Protokolle, die Verbindungen in zeitlichen Abständen erneut aushandeln (Renegotiation), etwa um frische Zertifikate auszutauschen. Twitter hat bereits reagiert und Renegotiation abgeschaltet.

Twitter ist allerdings auch ein leichtes Opfer gewesen. Jeder Tweet beinhaltet die Zugangsdaten eines Benutzers, die API des Microbloggers ist bekannt und es gibt zahlreiche Microblogging-Software, die die Fehlermeldung ignorieren, die eine solche Attacke auslösen würde.

Eine Expertengruppe arbeitet seit Ende September 2009 im Geheimen an der Beseitigung der Lücke, denn das SSL/TLS-Protokoll wird unter anderem bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Lediglich das OpenSSL-Projekt steht kurz vor einer Lösung.



Anzeige
Spiele-Angebote
  1. 19,95€
  2. (-70%) 8,99€
  3. 42,49€

Paeniteo 17. Nov 2009

Nein, heißt es nicht. Entweder benutzt du fürs Onlinebanking gar kein Clientzertifikat...

Open-SSL 17. Nov 2009

Wenn da nicht mal die Entwickler von SSLeay dahinterstecken ...


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek


        •  /