Ein neuer Angriff auf eine seit 2001 bekannte Schwachstelle in allen SSL-Versionen und der TLS-Version 1.0 erlaubt es Angreifern im gleichen Netz, über HTTPS übertragene Cookies auszuspähen. Juliano Rizzo und Thai Duong haben dazu auf der Sicherheitskonferenz ekoparty das Tool "BEAST" (Browser Exploit Against SSL/TLS) vorgestellt, das einen neuen, schnellen "block-wise chosen-plaintext"-Angriff implementiert.
Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon üblich gab es das Update für Google Chrome mit seinem integrierten Flash Player etwas früher.
In Unicode lässt sich die Schreibrichtung ändern.
Cyberkriminelle nutzen dass aus, um einen Text durch einen anderen zu
ersetzen. Das klingt nicht gefährlich? Das ist es aber, z.B. wenn so
aus einer .exe-Datei anscheinend eine .doc-Datei
wird. Und auch in anderen Fällen ist es sehr gefährlich, wenn
man etwas anderes liest, als da eigentlich steht.
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen der smsTAN/mTAN unterschieben lassen? Nicht? Auch niemand von den Banken? Aha. Und warum wird dann die smsTAN/mTAN so energisch beworben?
Spätestens seit dem Angriff auf DigiNotar und seinen Folgen dürfte jedem klar geworden sein, dass das bestehende Zertifizierungssystem für SSL-Zertifikate unsicher ist und eine permanente Bedrohung darstellt. Wenn man den Zertifizierungsstellen nicht mehr mehr oder weniger bedingungslos vertrauen kann, bricht das ganze System zusammen.
Liebe Leser,
leider gibt es heute keinen "Standpunkt"-Text zu mehr oder weniger
aktuellen Ereignissen. Ich hatte leider keine Zeit zum Schreiben eines
ausführlichen Texts. Aber dafür gibt es einige Links zu Texten, die
mir in der vergangenen Woche aufgefallen sind und die evtl. Thema des
"Standpunkts" hätten werden können:
Der Angriff auf die niederländische CA DigiNotar zieht immer weitere Kreise. Welche, erfahren Sie hier. Die angekündigte Beschreibung einer Alternative zum bestehenden Zertifizierungssystem verschiebt sich daher um eine Woche.
Der aktuelle Angriff auf bzw. die Reaktion darauf durch DigiNotar macht ein grundlegendes Problem der IT-Sicherheit, nicht nur im Umgang mit SSL-Zertifikaten, sichtbar: Vertrauen, das missbraucht werden oder ungerechtfertigt sein kann. Oder beides. Aber konzentrieren wir uns erst mal auf das Problem der SSL-Zertifikate, über z.B. mögliche Hintertüren in Netzwerkhardware und Betriebssystemen werde ich ein anderes Mal was schreiben.
Aus aktuellem Anlass heute ein anderes als das angekündigte Thema:
Der niederländische Zertifizierungs-Dienstleister (Certificate
Authority, CA) DigiNotar hat SSL- und
Extended Validation SSL (EVSSL)-
Zertifikate für mehrere Domains ausgestellt, die nicht vom
eigentlichen Domain-Inhaber beantragt wurden. Darunter
am 10. Juli eins
für alle google.com-Domains (*.google.com), das damit sieben und nicht wie
oft behauptet fünf Wochen (die 28. bis 34.) unentdeckt blieb, bis es
am 28. August entdeckt
und
am 29. August zurückgezogen
wurde.
Herausgekommen
ist der Vorfall, als
Man-in-the-Middle-Angriffe,
insbesondere auf Nutzer von Google Mail, bekannt wurden. Es wird vermutet,
dass sich die iranische Regierung das Zertifikat beschaffte, um die
iranische Bevölkerung auszuspähen.