Abo
  • Services:

ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte

Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer.

Artikel veröffentlicht am , Hanno Böck
Note F für jobboerse.arbeitsagentur.de
Note F für jobboerse.arbeitsagentur.de (Bild: Screenshot)

Die Webseite der Bundesagentur für Arbeit war bis vor kurzem in Sachen TLS-Sicherheit nicht gerade vorbildlich. In einem Tweet wies der IT-Sicherheitsexperte Thorsten Schröder darauf hin, dass die Webseite beim SSL-Labs-Test die schlechteste Bewertung F erhielt.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Der Grund dafür: Die Webseite war für den ROBOT-Angriff auf RSA verwundbar. Da die Webseite zudem ausschließlich alte Cipher mit RSA-Verschlüsselung und ohne Forward Secrecy unterstützte, war dies besonders kritisch. Konkret hätte ein Angreifer damit sämtlichen verschlüsselten Datenverkehr zu der Webseite entschlüsseln können.

Der ROBOT-Angriff ist dann möglich, wenn eine Webseite auf verschiedene Fehler bei der RSA-Entschlüsselung unterschiedlich reagiert. Anhand des Verhaltens der Seite lässt sich somit eine sehr zuverlässige Zuordnung zu einem bestimmten Gerät herleiten. Die Webseite der Arbeitsagentur nutzte dabei vermutlich einen Loadbalancer aus der ACE-Serie der Firma Cisco. Für diese Loadbalancer gibt es keine Sicherheitsupdates mehr. Cisco hat bereits 2013 die Unterstützung eingestellt.

Arbeitsagentur hat einige Probleme behoben

Wir hatten die Arbeitsagentur um eine Stellungnahme gebeten. Die Haupt-Webseite unter www.arbeitsagentur.de ist demnach inzwischen nicht mehr verwundbar, offenbar wurde das betreffende Gerät nach unserer Anfrage ersetzt. Laut der Arbeitsagentur lag das Problem bei einem externen Dienstleister.

Weiterhin verwundbar sind jedoch zahlreiche Subdomains. Darunter sind auch Webseiten, auf denen Zugangsdaten übertragen werden, beispielsweise jobboerse.arbeitsagentur.de. Laut der Pressespecherin der Arbeitsagentur sollen diese in Kürze auch umgestellt werden.

Zur verwendeten Hardware wollte sich die Sprecherin nicht äußern. Da man täglich mit Hackerangriffen aus aller Welt zu kämpfen habe, könne man solche Informationen nicht preisgeben, da diese den Angreifern helfen könnten.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1.299,00€
  3. 119,90€

quasides 12. Mär 2018

stimmt schon das solche infos angreifern helfen können. freilich bietet verschweigen...

megazocker 10. Mär 2018

Der danze ÖD hat damit ein Problem Diese Geldgeber haben null Verständnis für das was an...

Prinzeumel 10. Mär 2018

Was sie dafür bezahlt hatten? 60 Millionen oder so? ...


Folgen Sie uns
       


Die ersten 15 Minuten von Red Dead Online - Gameplay

Der Einstieg in Red Dead Online fühlt sich an wie ein Abstieg, zumindest für die, die in der Solokampagne von Red Dead Redemption 2 bereits weit gespielt haben.

Die ersten 15 Minuten von Red Dead Online - Gameplay Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

    •  /