HTTPS-Verschlüsselung unsicher geworden?

    • HTTPS-Verschlüsselung unsicher geworden?

      Zwei Sicherheitsforscher wollen Wege gefunden haben, SSL-geschützten Datenverkehr direkt zu entschlüsseln. Damit wären Online-Banking oder PayPal-Transaktionen durch Hacker-Angriffe gefährdet.


      [...]

      Die Sicherheitsexperten Juliano Rizzo und Thai Duong wollen auf der Ekoparty Security Conference in Buenos Aires einen Hack vorstellen, der zeigt, wie sich eine HTTPS-Verbindung entschlüsseln lässt. Dabei nutzen sie eine Schwachstelle der SSL-/TLS-Implementierung des Browsers aus. Rizzo und Duong haben dazu ein Tool mit dem Namen BEAST (Browser Exploit Against SSL/TLS) entwickelt. In einer E-Mail schreibt Duong. „BEAST funktioniert anders als die bekannten HTTPS-Attacken. Diese zielten bisher auf die SSL-Authentifizierung ab. BEAST greift dagegen direkt den Datenschutz durch das Protokoll an. Soweit wir wissen, stellt BEAST die erste Angriffsmethode dar, mit der sich HTTPS-Abfragen entschlüsseln lassen.“


      Quelle: onlinepc.ch

      Weitere Berichterstattung: zeit.de

      gruß
      ben
      ...
    • Die Forscher Juliano Rizzo und Thai Duong wollen kommenden Freitag auf der Sicherheitskonferenz ekoparty in Buenos Aires ein Tool namens BEAST (Browser Exploit Against SSL/TLS) vorstellen, mit dem ein Angreifer im gleichen Netz via SSL übertragene Browsercookies abgreifen und entschlüsseln können soll. Dazu führen die Forscher einen sogenannten "Block-wise chosen-plaintext"-Angriff (PDF) auf die verschlüsselten Pakete durch.
      Dies setzt voraus, dass der Angreifer den Browser dazu bewegen kann, beliebige Werte über den verschlüsselten Kanal an den die Gegenstelle zu senden. Da der Angreifer nun sowohl den Klartext als auch den verschlüsselten Text kennt, kann er darauf auf die eingesetzte Entropie schließen und den Knackaufwand erheblich verringern. Gegenüber The Register gab Rizzo an, dass er dadurch ein verschlüsselt übertragenes PayPal-Cookie in unter zehn Minuten knacken könne!

      Das eigentliche Geheimnis steckt in der Manipulation der Pakete – HTTPS-Seiten sind durch ihre Verschlüsselung eigentlich ausreichend davor geschützt. Die Forscher gaben lediglich an, dass BEAST zum einen auf JavaScript-Code basiert, der in den Browser des Opfers injiziert werden muss. Den Rest soll dann ein Netzwerksniffer erledigen. Wie das genau funktioniert, ist derzeit unklar und sorgt in der Sicherheitsszene für rege Diskussionen.

      Voraussetzung für den Angriff ist, dass die verschlüsselte Kommunikation noch über Version 1.0 des TLS-Protokolls erfolgt. Bereits die im Jahr 2006 beschlossenen Version 1.1 ist nicht mehr auf diesem Weg angreifbar. In der Praxis werden aber nach wie vor fast alle HTTPS-Verbindungen über TLS 1.0 abgewickelt. Konkrete Vorschläge für Abhilfe gibt es noch nicht. Das auf vielen Servern eingesetzte OpenSSL unterstützt derzeit nur in der Entwicklerversion 1.0.1 das überarbeitete TLS 1.1. (rei)

      Quelle: heise.de
      Hier noch einmal ein wenig ausführlicher. Also grundsätzlich glaube ich weiss jeder, das egal was man Online macht, es nie zu 100% sicher ist. Jedoch finde ich es immer gut wenn Leute das Verfahren präsentieren und Firmen bzw Entwickler auf Probleme und Sicherheitslücken aufmerksam machen.