Ein neuer Angriff auf eine
seit 2001 bekannte
Schwachstelle in allen SSL-Versionen und der TLS-Version 1.0 erlaubt es
Angreifern im gleichen Netz, über HTTPS übertragene Cookies auszuspähen.
Juliano Rizzo und Thai Duong haben dazu auf der Sicherheitskonferenz
ekoparty
das Tool
"BEAST"
(Browser Exploit Against SSL/TLS)
vorgestellt,
das einen neuen, schnellen "block-wise chosen-plaintext"-Angriff
implementiert.
Adobe hat
außer der Reihe
ein als kritisch eingestuftes Update für den Flash Player
veröffentlicht
- wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für
gezielte Angriffe
ausgenutzt wird.
Und wie
schon üblich
gab es das Update für Google Chrome mit seinem integrierten Flash Player
etwas früher.
In Unicode lässt sich die Schreibrichtung ändern.
Cyberkriminelle nutzen dass aus, um einen Text durch einen anderen zu
ersetzen. Das klingt nicht gefährlich? Das ist es aber, z.B. wenn so
aus einer .exe-Datei anscheinend eine .doc-Datei
wird. Und auch in anderen Fällen ist es sehr gefährlich, wenn
man etwas anderes liest, als da eigentlich steht.
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das
Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher
hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich
nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen
der smsTAN/mTAN unterschieben lassen? Nicht? Auch niemand von den Banken?
Aha. Und warum wird dann die smsTAN/mTAN so energisch beworben?
Spätestens seit dem
Angriff auf DigiNotar
und seinen
Folgen
dürfte jedem klar geworden sein, dass das bestehende
Zertifizierungssystem für SSL-Zertifikate unsicher ist und eine
permanente Bedrohung darstellt. Wenn man den Zertifizierungsstellen nicht
mehr mehr oder weniger bedingungslos vertrauen kann, bricht das ganze
System zusammen.
Liebe Leser,
leider gibt es heute keinen "Standpunkt"-Text zu mehr oder weniger
aktuellen Ereignissen. Ich hatte leider keine Zeit zum Schreiben eines
ausführlichen Texts. Aber dafür gibt es einige Links zu Texten, die
mir in der vergangenen Woche aufgefallen sind und die evtl. Thema des
"Standpunkts" hätten werden können:
Der
Angriff
auf die niederländische CA DigiNotar zieht immer weitere Kreise. Welche,
erfahren Sie hier. Die angekündigte Beschreibung einer Alternative
zum bestehenden Zertifizierungssystem verschiebt sich daher um eine Woche.
Der
aktuelle Angriff
auf bzw. die Reaktion darauf durch DigiNotar macht ein grundlegendes
Problem der IT-Sicherheit, nicht nur im Umgang mit SSL-Zertifikaten,
sichtbar: Vertrauen, das missbraucht werden oder ungerechtfertigt sein
kann. Oder beides. Aber konzentrieren wir uns erst mal auf das Problem
der SSL-Zertifikate, über z.B. mögliche Hintertüren in
Netzwerkhardware und Betriebssystemen werde ich ein anderes Mal was
schreiben.
Aus aktuellem Anlass heute ein anderes als das angekündigte Thema:
Der niederländische Zertifizierungs-Dienstleister (Certificate
Authority, CA) DigiNotar hat SSL- und
Extended Validation SSL (EVSSL)-
Zertifikate für mehrere Domains ausgestellt, die nicht vom
eigentlichen Domain-Inhaber beantragt wurden. Darunter
am 10. Juli eins
für alle google.com-Domains (*.google.com), das damit sieben und nicht wie
oft behauptet fünf Wochen (die 28. bis 34.) unentdeckt blieb, bis es
am 28. August entdeckt
und
am 29. August zurückgezogen
wurde.
Herausgekommen
ist der Vorfall, als
Man-in-the-Middle-Angriffe,
insbesondere auf Nutzer von Google Mail, bekannt wurden. Es wird vermutet,
dass sich die iranische Regierung das Zertifikat beschaffte, um die
iranische Bevölkerung auszuspähen.