Ein neuer Angriff auf eine
seit 2001 bekannte
Schwachstelle in allen SSL-Versionen und der TLS-Version 1.0 erlaubt es
Angreifern im gleichen Netz, über HTTPS übertragene Cookies auszuspähen.
Juliano Rizzo und Thai Duong haben dazu auf der Sicherheitskonferenz
ekoparty
das Tool
"BEAST"
(Browser Exploit Against SSL/TLS)
vorgestellt,
das einen neuen, schnellen "block-wise chosen-plaintext"-Angriff
implementiert.
In Unicode lässt sich die Schreibrichtung ändern.
Cyberkriminelle nutzen dass aus, um einen Text durch einen anderen zu
ersetzen. Das klingt nicht gefährlich? Das ist es aber, z.B. wenn so
aus einer .exe-Datei anscheinend eine .doc-Datei
wird. Und auch in anderen Fällen ist es sehr gefährlich, wenn
man etwas anderes liest, als da eigentlich steht.
Spätestens seit dem
Angriff auf DigiNotar
und seinen
Folgen
dürfte jedem klar geworden sein, dass das bestehende
Zertifizierungssystem für SSL-Zertifikate unsicher ist und eine
permanente Bedrohung darstellt. Wenn man den Zertifizierungsstellen nicht
mehr mehr oder weniger bedingungslos vertrauen kann, bricht das ganze
System zusammen.