Ein neuer Angriff auf eine seit 2001 bekannte Schwachstelle in allen SSL-Versionen und der TLS-Version 1.0 erlaubt es Angreifern im gleichen Netz, über HTTPS übertragene Cookies auszuspähen. Juliano Rizzo und Thai Duong haben dazu auf der Sicherheitskonferenz ekoparty das Tool "BEAST" (Browser Exploit Against SSL/TLS) vorgestellt, das einen neuen, schnellen "block-wise chosen-plaintext"-Angriff implementiert.
Donnerstag, 29. September 2011
BEAST - Ein neuer Angriff auf SSL und TLS 1.0
Montag, 26. September 2011
Ein Text über fast nichts Neues zum Flash Player
Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon üblich gab es das Update für Google Chrome mit seinem integrierten Flash Player etwas früher.
Das ist (fast) alles nichts Neues...
"Ein Text über fast nichts Neues zum Flash Player" vollständig lesen »Donnerstag, 22. September 2011
Der Right to Left Override (RLO) Unicode Trick
In Unicode lässt sich die Schreibrichtung ändern.
Cyberkriminelle nutzen dass aus, um einen Text durch einen anderen zu
ersetzen. Das klingt nicht gefährlich? Das ist es aber, z.B. wenn so
aus einer .exe-Datei anscheinend eine .doc-Datei
wird. Und auch in anderen Fällen ist es sehr gefährlich, wenn
man etwas anderes liest, als da eigentlich steht.
It's not a bug, it's a feature!
"Der Right to Left Override (RLO) Unicode Trick" vollständig lesen »Montag, 19. September 2011
Die smsTAN ist tot, der SMS-Dieb schon da!
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen der smsTAN unterschieben lassen? Nicht? Auch niemand von den Banken? Aha. Und warum wird dann die smsTAN so energisch beworben?
smsTAN - gefährlicher als iTAN?
"Die smsTAN ist tot, der SMS-Dieb schon da!" vollständig lesen »Donnerstag, 15. September 2011
Alternativen zum SSL-CA-Zertifizierungssystem
Spätestens seit dem Angriff auf DigiNotar und seinen Folgen dürfte jedem klar geworden sein, dass das bestehende Zertifizierungssystem für SSL-Zertifikate unsicher ist und eine permanente Bedrohung darstellt. Wenn man den Zertifizierungsstellen nicht mehr mehr oder weniger bedingungslos vertrauen kann, bricht das ganze System zusammen.
Ein Benzingetränktes Kartenhaus
"Alternativen zum SSL-CA-Zertifizierungssystem" vollständig lesen »Montag, 12. September 2011
Heute im Angebot: Links statt Text
Liebe Leser,
leider gibt es heute keinen "Standpunkt"-Text zu mehr oder weniger
aktuellen Ereignissen. Ich hatte leider keine Zeit zum Schreiben eines
ausführlichen Texts. Aber dafür gibt es einige Links zu Texten, die
mir in der vergangenen Woche aufgefallen sind und die evtl. Thema des
"Standpunkts" hätten werden können:
Android im Visier
"Heute im Angebot: Links statt Text" vollständig lesen »Donnerstag, 8. September 2011
Der Angriff auf DigiNotar und seine Folgen
Der Angriff auf die niederländische CA DigiNotar zieht immer weitere Kreise. Welche, erfahren Sie hier. Die angekündigte Beschreibung einer Alternative zum bestehenden Zertifizierungssystem verschiebt sich daher um eine Woche.
Mindestens 531 Zertifikate ausgestellt
"Der Angriff auf DigiNotar und seine Folgen" vollständig lesen »Montag, 5. September 2011
Vertrauensfragen
Der aktuelle Angriff auf bzw. die Reaktion darauf durch DigiNotar macht ein grundlegendes Problem der IT-Sicherheit, nicht nur im Umgang mit SSL-Zertifikaten, sichtbar: Vertrauen, das missbraucht werden oder ungerechtfertigt sein kann. Oder beides. Aber konzentrieren wir uns erst mal auf das Problem der SSL-Zertifikate, über z.B. mögliche Hintertüren in Netzwerkhardware und Betriebssystemen werde ich ein anderes Mal was schreiben.
Bloss nichts zugeben...
"Vertrauensfragen" vollständig lesen »Donnerstag, 1. September 2011
Falsche Zertifikate für Google und andere - ist SSL tot?
Aus aktuellem Anlass heute ein anderes als das angekündigte Thema:
Der niederländische Zertifizierungs-Dienstleister (Certificate
Authority, CA) DigiNotar hat SSL- und
Extended Validation SSL (EVSSL)-
Zertifikate für mehrere Domains ausgestellt, die nicht vom
eigentlichen Domain-Inhaber beantragt wurden. Darunter
am 10. Juli eins
für alle google.com-Domains (*.google.com), das damit sieben und nicht wie
oft behauptet fünf Wochen (die 28. bis 34.) unentdeckt blieb, bis es
am 28. August entdeckt
und
am 29. August zurückgezogen
wurde.
Herausgekommen
ist der Vorfall, als
Man-in-the-Middle-Angriffe,
insbesondere auf Nutzer von Google Mail, bekannt wurden. Es wird vermutet,
dass sich die iranische Regierung das Zertifikat beschaffte, um die
iranische Bevölkerung auszuspähen.
Verkauft oder gestohlen?
"Falsche Zertifikate für Google und andere -..." vollständig lesen »
(Seite 1 von 1, insgesamt 9 Einträge)
