• IT-Karriere:
  • Services:

SSL/TLS-Sicherheitslücke im Test bestätigt

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich

Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

Artikel veröffentlicht am ,

Der türkische Programmierer Anil Kurmus hat eine Lücke im SSL/TLS-Protokoll genutzt, um Zugangsdaten von Twitter-Benutzern auszulesen. Dabei injizierte er Code in den HTTPS-Datenstrom, während eine SSL/TLS-Verbindung neu verhandelt wurde. Der Codeschnipsel dechiffrierte die Zugangsdaten und sandte sie an Kurmus als Twitter-Feed.

Stellenmarkt
  1. FRISTO GETRÄNKEMARKT GmbH, Buchloe
  2. DRÄXLMAIER Group, Vilsbiburg bei Landshut

Die Sicherheitslücke, die bislang nur in der Theorie bekannt war, war Mitte September 2009 entdeckt worden. Sie betrifft alle verschlüsselten Protokolle, die Verbindungen in zeitlichen Abständen erneut aushandeln (Renegotiation), etwa um frische Zertifikate auszutauschen. Twitter hat bereits reagiert und Renegotiation abgeschaltet.

Twitter ist allerdings auch ein leichtes Opfer gewesen. Jeder Tweet beinhaltet die Zugangsdaten eines Benutzers, die API des Microbloggers ist bekannt und es gibt zahlreiche Microblogging-Software, die die Fehlermeldung ignorieren, die eine solche Attacke auslösen würde.

Eine Expertengruppe arbeitet seit Ende September 2009 im Geheimen an der Beseitigung der Lücke, denn das SSL/TLS-Protokoll wird unter anderem bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Lediglich das OpenSSL-Projekt steht kurz vor einer Lösung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Paeniteo 17. Nov 2009

Nein, heißt es nicht. Entweder benutzt du fürs Onlinebanking gar kein Clientzertifikat...

Open-SSL 17. Nov 2009

Wenn da nicht mal die Entwickler von SSLeay dahinterstecken ...


Folgen Sie uns
       


Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
Materiejets aus schwarzem Loch: Schneller als das Licht?
Materiejets aus schwarzem Loch
Schneller als das Licht?

Das schwarze Loch stößt Materie mit einer Geschwindigkeit aus, die wie Überlichtgeschwindigkeit aussieht.
Ein Bericht von Andreas Lutter

  1. Oumuamua Ein ganz normal merkwürdiger interstellarer Asteroid

Horror-Thriller Unsubscribe: Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde
Horror-Thriller Unsubscribe
Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde

Zwei US-Filmemacher haben mit Zoom den Horror-Film Unsubscribe gedreht. Sie landeten damit sogar an der Spitze der US-Box-Office-Charts. Zumindest für einen Tag.
Von Peter Osteried

  1. Film Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
  2. Alien Im Weltall hört dich keiner schreien
  3. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?

Unix: Ein Betriebssystem in 8 KByte
Unix
Ein Betriebssystem in 8 KByte

Zwei junge Programmierer entwarfen nahezu im Alleingang ein Betriebssystem und die Sprache C. Zum 50. Jubiläum von Unix werfen wir einen Blick zurück auf die Anfangstage.
Von Martin Wolf


      •  /