TLS

Gefälschte Support-Anrufe sind ein großes Ärgernis für viele PC-Nutzer. Jetzt gibt es eine neue Masche, die gezielt Dell-Nutzer anspricht. Möglicherweise hängen die Anrufe mit den von Dell im vergangenen Jahr installierten SSL-Zertifikaten zusammen.

Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.

32C3 Der Start der neuen Certificate Authority Let's Encrypt hat offenbar recht gut funktioniert. Nach nur rund einem Monat im Betabetrieb ist das Projekt schon die fünftgrößte CA der Welt. Doch es gibt noch einige Aufgaben zu bewältigen.

Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

Zwischendurch gab es ein wenig Aufregung, doch jetzt sind alle Bedingungen erfüllt: Let's Encrypt hat die für eine CA notwendigen unabhängigen Audits veröffentlicht. Offensichtlich lagen diese schon seit September vor.

Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Einige Amazon-Kunden in den USA und Großbritannien müssen sich ein neues Passwort ausdenken. Amazon hat die Passwörter zurückgesetzt - eine reine Vorsichtsmaßnahme, wie es heißt. Doch das Statement von Amazon ist teilweise widersprüchlich und lässt viele Fragen offen.

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

Update Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.

Let's Encrypt hat einen neuen Meilenstein erreicht: Der Cross-Sign mit Identrust ist abgeschlossen. Ab Mitte November soll der Dienst für die breite Öffentlichkeit verfügbar sein.

Die Anzeigen zur Darstellung des Sicherheitsniveaus einer Webseite sind in der neuen Version von Googles Webbrowser Chrome überarbeitet worden. Nutzer sollen jetzt weniger verwirrt sein als vorher. Außerdem hat Google kritische Sicherheitslücken gestopft.

Alle gängigen Browser sind über manipulierte Cookies angreifbar. Angreifer können mit einem Man-in-the-Middle-Angriff vertrauliche Nutzerdaten auslesen.

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

Das Projekt Let's Encrypt möchte mehr Webseiten mit SSL-/TLS-Zertifikaten ausstatten. Jetzt hat die von der EFF und Mozilla ins Leben gerufene Initiative ihr erstes Zertifikat ausgestellt.

Im Rahmen eines EU-Forschungsprojekts wurden jetzt erste Empfehlungen für kryptographische Algorithmen vorgelegt, die Schutz vor Quantencomputern bieten. Diese bieten zwar ein hohes Sicherheitsniveau, sie sind aber in vielen Fällen unpraktikabel.

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Ein aktueller Test von Smart-TVs offenbart, dass grundlegende Sicherheitsvorkehrungen wie TLS-Verschlüsselung häufig nicht getroffen werden. Doch es gibt Unterschiede zwischen den Plattformen.

Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat.

Black Hat 2015 Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

Black Hat 2015 Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar - beispielsweise mittels des Routingprotokolls BGP.

Cisco, F5, Juniper, Fortinet: Ein Sicherheitsforscher hat eine Reihe von TLS-Servern entdeckt, die den sogenannten Message Authentication Code (MAC) von Verbindungen nicht prüfen. Andere Serverimplementierungen prüfen eine Checksumme am Ende des Handshakes nicht.

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Ein Akamai-Mitarbeiter beschreibt, wie mit einfachen Rechenaufgaben DDoS-Angriffe durch Clients auf TLS-Verbindungen minimiert werden könnten. Die Idee ist zwar noch ein Entwurf, könnte aber als Erweiterung für TLS 1.3 standardisiert werden.

SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

Ab Mitte September sollen alle Nutzer gratis Zertifikate von Let's Encrypt erhalten können. Bereits in einem Monat will das Team Zertifikate für ausgesuchte Webseite verteilen.

Um den Zugriff vor Zensur zu schützen und abzusichern, will die Wikimedia künftig alle ihre Webseiten standardmäßig über verschlüsselte Verbindungen anbieten. Die grundlegenden Arbeiten an der HTTPS-Unterstützung sind bereits vor Jahren begonnen worden.

Update OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

Entwickler von Apps für iOS und OS X sollten "so schnell wie möglich" auf sichere Verbindungen per HTTPS wechseln, empfiehlt Apple. Das Unternehmen könnte die Verschlüsselung gar für die Aufnahme im App Store erzwingen.

Die von Mozilla und EFF gegründete Zertifizierungsstelle Let's Encrypt hat ihre Wurzelzertifikate erstellt. Damit haben die Beteiligten einen wichtigen Schritt unternommen, um mit der Arbeit beginnen zu können. Zudem gibt es einen Plan, wie alle Browser die Zertifikate sofort akzeptieren.

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.

Der geplante volle Umstieg von HTTP auf das verschlüsselte HTTPS ist bei Mozilla nun offiziell. Die Umsetzung könnte Jahre dauern und soll zunächst nur für neue Funktionen gelten. Technisch solle dem aber nichts entgegenstehen, versichert Mozilla.