Ein neuer Angriff auf eine seit 2001 bekannte Schwachstelle in allen SSL-Versionen und der TLS-Version 1.0 erlaubt es Angreifern im gleichen Netz, über HTTPS übertragene Cookies auszuspähen. Juliano Rizzo und Thai Duong haben dazu auf der Sicherheitskonferenz ekoparty das Tool "BEAST" (Browser Exploit Against SSL/TLS) vorgestellt, das einen neuen, schnellen "block-wise chosen-plaintext"-Angriff implementiert.
In Unicode lässt sich die Schreibrichtung ändern.
Cyberkriminelle nutzen dass aus, um einen Text durch einen anderen zu
ersetzen. Das klingt nicht gefährlich? Das ist es aber, z.B. wenn so
aus einer .exe-Datei anscheinend eine .doc-Datei
wird. Und auch in anderen Fällen ist es sehr gefährlich, wenn
man etwas anderes liest, als da eigentlich steht.
Spätestens seit dem Angriff auf DigiNotar und seinen Folgen dürfte jedem klar geworden sein, dass das bestehende Zertifizierungssystem für SSL-Zertifikate unsicher ist und eine permanente Bedrohung darstellt. Wenn man den Zertifizierungsstellen nicht mehr mehr oder weniger bedingungslos vertrauen kann, bricht das ganze System zusammen.