Abo
  • Services:

SSL/TLS-Sicherheitslücke im Test bestätigt

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich

Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

Artikel veröffentlicht am ,

Der türkische Programmierer Anil Kurmus hat eine Lücke im SSL/TLS-Protokoll genutzt, um Zugangsdaten von Twitter-Benutzern auszulesen. Dabei injizierte er Code in den HTTPS-Datenstrom, während eine SSL/TLS-Verbindung neu verhandelt wurde. Der Codeschnipsel dechiffrierte die Zugangsdaten und sandte sie an Kurmus als Twitter-Feed.

Stellenmarkt
  1. Scopevisio AG, Bonn
  2. BWI GmbH, Nürnberg

Die Sicherheitslücke, die bislang nur in der Theorie bekannt war, war Mitte September 2009 entdeckt worden. Sie betrifft alle verschlüsselten Protokolle, die Verbindungen in zeitlichen Abständen erneut aushandeln (Renegotiation), etwa um frische Zertifikate auszutauschen. Twitter hat bereits reagiert und Renegotiation abgeschaltet.

Twitter ist allerdings auch ein leichtes Opfer gewesen. Jeder Tweet beinhaltet die Zugangsdaten eines Benutzers, die API des Microbloggers ist bekannt und es gibt zahlreiche Microblogging-Software, die die Fehlermeldung ignorieren, die eine solche Attacke auslösen würde.

Eine Expertengruppe arbeitet seit Ende September 2009 im Geheimen an der Beseitigung der Lücke, denn das SSL/TLS-Protokoll wird unter anderem bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Lediglich das OpenSSL-Projekt steht kurz vor einer Lösung.



Anzeige
Spiele-Angebote
  1. 49,86€
  2. 29,95€
  3. 4,99€

Paeniteo 17. Nov 2009

Nein, heißt es nicht. Entweder benutzt du fürs Onlinebanking gar kein Clientzertifikat...

Open-SSL 17. Nov 2009

Wenn da nicht mal die Entwickler von SSLeay dahinterstecken ...


Folgen Sie uns
       


Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on (MWC 2019)

Samsung hat seine neue Galaxy-S10-Serie auf mehrere Bildschirmgrößen aufgeteilt. Besonders das "kleine" Galaxy S10e finden wir im Vorabtest interessant.

Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on (MWC 2019) Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
    FreeNAS und Windows 10
    Der erste NAS-Selbstbau macht glücklich

    Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
    Ein Erfahrungsbericht von Oliver Nickel

    1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

    Pauschallizenzen: CDU will ihre eigenen Uploadfilter verhindern
    Pauschallizenzen
    CDU will ihre eigenen Uploadfilter verhindern

    Absurder Vorschlag aus der CDU: Anstatt die Urheberrechtsreform auf EU-Ebene zu verändern oder zu stoppen, soll nun der "Mist" von Axel Voss in Deutschland völlig umgekrempelt werden. Nur "pures Wahlkampfgetöse" vor den Europawahlen, wie die Opposition meint?
    Eine Analyse von Friedhelm Greis

    1. Uploadfilter Merkel verteidigt Bruch des Koalitionsvertrages
    2. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
    3. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter

      •  /