Black Hat: So wird das SSL-System manipuliert
Freitag, 20 Februar 2009 13:03 von Ralf Müller
Wie gewohnt gibt es schlechte Nachrichten von der Sicherheitskonferenz Black Hat. Gestern führten Hacker vor, wie man das Protokoll Secure Sockets Layer (SSL) austricksen kann.
Ob Online-Banking oder Bezahlprozesse, auf das SSL-System verlässt sich die große Mehrheit der Nutzer und Betreiber. Neue Techniken, um SSL in der Praxis zu umgehen, stellte ein Konferenzredner – Künstlername Moxie Marlinspike – dem Fachpublikum vor. Seine Software basiert auf der bekannten ‘man in the middle’-Vorgehensweise: HTTPS-Traffic wird identifiziert, dann platziert sich die Malware zwischen hereinkommenden Daten und dem Nutzer – angeblich unbemerkbar, da der Screen aussehe wie immer. Inklusive Schlosssymbol.
In einer 24-Stunden-Demonstration gelang es ihm, 16 Kreditkartennummern, 7 PayPal-Accounts, 117 E-Mail-Logins und 300 weitere Logins auszuspähen. “Da draußen in der Welt gibt es mittlerweile eine ganze Ökonomie, die von solchen Attacken lebt”, warnt Marlinspike im Video-Interview.
Um den Profis die Chance zu geben, die SSL-Sicherheit zu stärken, wolle er den Code seiner Malware nun offen legen. (rm)
Kommentare
Schöne neue Welt :)
ick steig wieda um uff papierkram ;) …dat is sicherer…wenn wat schief läuft..ick wees wo mein postmann wohnt…
und wie siehts mit TLS aus? Is zwar nur die weiterentwicklung von SSL, aber geht das da nun auch oder nich?
Kommentar hinzufügen