BEAST: Forscher wollen Angriff auf SSL/TLS demonstrieren

Die beiden Sicherheitsforscher Juliano Rizzo und Thai Duong wollen Ende der Woche auf der Ekoparty Security Conference einen Angriff auf SSL/TLS vorstellen, mit dem sich die verschlüsselte Kommunikation mit Webseiten abhören lässt.

20. September 2011 um 09:12 Uhr / Jens Ihlenfeld

11 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Sicherheitsforscher Thai Duong (Bild: Thai Duong) — Sicherheitsforscher Thai Duong Bild: Thai Duong

Rizzo und Duong haben nach eigenen Angaben einen neuen, schnellen Angriff gegen SSL/TLS entdeckt und wollen in ihrem für Freitag angekündigten Vortrag BEAST: Surprising crypto attack against HTTPS(öffnet im neuen Fenster) zeigen, wie sich Authentifizierungscookies für HTTPS-Requests entschlüsseln lassen.

Ihr Angriff richtet sich laut Ankündigung gegen eine Schwachstelle der SSL-/TLS-Implementierung aller großen Browser.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

System Engineer Linux Plattform Deutsche Rentenversicherung Bund, Berlin,Homeoffice (öffnet im neuen Fenster)

Projektmanager Digitalisierung & IT (all people) Energieforen Leipzig GmbH, Leipzig (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) BCM-Notfallmanagement Vollzeit / Teilzeit Sparkasse Rhein Neckar Nord, Weinheim (öffnet im neuen Fenster)

SAP Consultant (m/w/d) mit Schwerpunkt S4/HANA Ondal Medical Systems GmbH, Hünfeld (öffnet im neuen Fenster)

IT-Administrator (m/w/d) für die IT-Infrastrukturen Stadt Brakel, Brakel (öffnet im neuen Fenster)

PHP Symfony Backend Teamlead & Techlead Webshop (m/w/d) Hygi.de GmbH & Co. KG, Telgte (öffnet im neuen Fenster)

Duale Studenten Wirtschaftsinformatik (AWIS) mit Ausbildung zum Fachinformatiker (Anwendungsentwicklung) (w/m/d) Bausparkasse Mainz AG, Mainz (öffnet im neuen Fenster)

Information Security Risk Manager / IT-Compliance (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Nach Angaben der britischen Website The Register(öffnet im neuen Fenster), die mit Duong gesprochen hat, steckt das Problem in der Implementierung von TLS 1.0 und funktioniert auch gegen Websites, die auf HSTS oder HTTP Strict Transport Security(öffnet im neuen Fenster) setzen und wird von den Forschern am Beispiel eines Authentifizierungscookies von Paypal demonstriert. Dabei werden laut Duong HTTPS-Requests entschlüsselt.

Zur Startseite 11 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Relevante Themen