Hackerkonferenz enthüllt Lücke bei SSL-Sicherheit
Las Vegas - Teilnehmer der Hacker-Konferenzen Black Hat und DefCon in Las Vegas haben eine schwerwiegende Sicherheitslücke im Umgang aktueller Browser mit der SSL-Technik aufgedeckt.
Die recht komplexe Attacke fällt in die Kategorie mit der Bezeichnung «man-in-the-middle» - dabei platziert sich ein Angreifer zwischen einem Anwender und einer Website, um im Datenaustausch zwischen beiden vertrauliche Informationen wie Passwörter oder Kreditkartennummern abzufangen.
Die Sicherheitsexperten Moxie Marlinspike, Dan Kaminsky und Len Sassaman wiesen in zwei getrennten Vorträgen nach, dass es bei der Interaktion des Browsers mit Zertifikaten des Secure Sockets Layers (SSL) erhebliche Probleme gibt.
SSL ist eine verbreitete Technik für die Verschlüsselung des Datenverkehrs in Homebanking und E-Commerce. Microsoft kündigte eine Untersuchung an. Mozilla teilte mit, das Problem werde zum größten Teil in der jüngsten Version seines Firefox-Browsers behoben; um auch den kleineren Teil abzudecken, soll es in dieser Woche ein Update geben.
Bei VeriSign, dem führenden Anbieter von SSL-Zertifikaten, sagte Manager Tim Callan, die «Abhörlücke» greife nicht bei einer neuen Art von Zertifikaten, den «Extended Validation SSL certificates». Diese sind allerdings teurer und mit einer eingehenderen Prüfung des Antrags verbunden. Jeff Moss, der Gründer der Black-Hat- und DefCon-Konferenzen sprach von einem «gewaltigen Weckruf für die Branche».
Der SSL-Experte Jon Miller sagte, er erwarte, dass die Sicherheitslücke in den kommenden Monaten für Angriffe auf Unternehmen ausgenutzt werde.
ap