Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

SSL/TLS-Sicherheitslücke im Test bestätigt

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich. Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.
/ Jörg Thoma
3 Kommentare News folgen (öffnet im neuen Fenster)

Der türkische Programmierer Anil Kurmus hat eine Lücke im SSL/TLS-Protokoll genutzt, um Zugangsdaten von Twitter-Benutzern auszulesen. Dabei injizierte er Code in den HTTPS-Datenstrom, während eine SSL/TLS-Verbindung neu verhandelt wurde. Der Codeschnipsel dechiffrierte die Zugangsdaten und sandte sie an Kurmus als Twitter-Feed.

Die Sicherheitslücke, die bislang nur in der Theorie bekannt war, war Mitte September 2009 entdeckt worden. Sie betrifft alle verschlüsselten Protokolle, die Verbindungen in zeitlichen Abständen erneut aushandeln (Renegotiation), etwa um frische Zertifikate auszutauschen. Twitter hat bereits reagiert und Renegotiation abgeschaltet.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Twitter ist allerdings auch ein leichtes Opfer gewesen. Jeder Tweet beinhaltet die Zugangsdaten eines Benutzers, die API des Microbloggers ist bekannt und es gibt zahlreiche Microblogging-Software, die die Fehlermeldung ignorieren, die eine solche Attacke auslösen würde.

Eine Expertengruppe arbeitet seit Ende September 2009 im Geheimen an der Beseitigung der Lücke, denn das SSL/TLS-Protokoll wird unter anderem bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Lediglich das OpenSSL-Projekt steht kurz vor einer Lösung(öffnet im neuen Fenster) .

Zur Startseite 3 Kommentare

Relevante Themen

VerschlüsselungMicrobloggingSoftwareSoftwareentwicklungSecuritySicherheitslückeCybercrimeDatensicherheit