BEAST: Forscher wollen Angriff auf SSL/TLS demonstrieren

Die beiden Sicherheitsforscher Juliano Rizzo und Thai Duong wollen Ende der Woche auf der Ekoparty Security Conference einen Angriff auf SSL/TLS vorstellen, mit dem sich die verschlüsselte Kommunikation mit Webseiten abhören lässt.

20. September 2011 um 09:12 Uhr / Jens Ihlenfeld

11 Kommentare News folgen (öffnet im neuen Fenster)

Sicherheitsforscher Thai Duong (Bild: Thai Duong) — Sicherheitsforscher Thai Duong Bild: Thai Duong

Rizzo und Duong haben nach eigenen Angaben einen neuen, schnellen Angriff gegen SSL/TLS entdeckt und wollen in ihrem für Freitag angekündigten Vortrag BEAST: Surprising crypto attack against HTTPS(öffnet im neuen Fenster) zeigen, wie sich Authentifizierungscookies für HTTPS-Requests entschlüsseln lassen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Mitarbeiter*in eAkte/DMS-Umsetzung (m/w/d) Hochschule Hamm-Lippstadt, Lippstadt (öffnet im neuen Fenster)

IT-Leiter (m/w/d) Stadt Nürtingen, Nürtingen (öffnet im neuen Fenster)

Expert Accounting & Reporting (m/w/d) Dürr CTS GmbH, Bietigheim-Bissingen (öffnet im neuen Fenster)

Softwarebetreuer (m/w/d) in Vollzeit Pferdesporthaus Loesdau GmbH & Co KG, Bisingen (öffnet im neuen Fenster)

Domänenadministrator (m/w/d) Landratsamt Rems-Murr-Kreis, Waiblingen (öffnet im neuen Fenster)

ServiceNow Engineering Lead (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)

IT-Administrator (m/w/d) Schwerpunkt Linux-Infrastruktur Honda, Offenbach am Main (öffnet im neuen Fenster)

Mitarbeiter:in (m/w/d) IT/Netzwerkinfrastruktur - Fernwärme Elektrizitätswerk Mittelbaden AG & Co. KG, Offenburg (öffnet im neuen Fenster)

Ihr Angriff richtet sich laut Ankündigung gegen eine Schwachstelle der SSL-/TLS-Implementierung aller großen Browser.

Nach Angaben der britischen Website The Register(öffnet im neuen Fenster) , die mit Duong gesprochen hat, steckt das Problem in der Implementierung von TLS 1.0 und funktioniert auch gegen Websites, die auf HSTS oder HTTP Strict Transport Security(öffnet im neuen Fenster) setzen und wird von den Forschern am Beispiel eines Authentifizierungscookies von Paypal demonstriert. Dabei werden laut Duong HTTPS-Requests entschlüsselt.

Zur Startseite 11 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Relevante Themen