14.09.2012 15:15
Lücke in SSL-Verschlüsselung kaum ausnutzbar
Wenn die Daten für eine verschlüsselte HTTPS-Verbindung zuvor komprimiert werden, öffnet dies die Tür für Angreifer, die durch gezielte Manipulation des Datenverkehrs die Verschlüsselung knacken könnten, haben Forscher herausgefunden. Die Kompression unterstützen zwar fast die Hälfte aller Web-Server – darunter viele Prominente wie Google und Twitter. Doch die Browser-Hersteller haben bereits reagiert und die anfälligen Zusatzfunktionen abgeschaltet.
Eigentlich wollten die Sicherheitsforscher Juliano Rizzo und Thai Duong ihren neuen Angriffe mit dem Codenamen CRIME erst nächste Woche en Detail vorstellen. Doch mittlerweile sind alle Karten bereits auf dem Tisch. CRIME beruht auf einem Problem, das John Kelsey Certicom bereits 2002 als Compression and Information Leakage of Plaintext vorgestellt hat. Wenn Server und Client die sogenannte TLS Deflate Compression oder das neuere SPDY benutzen, kann ein Angreifer als Man-in-The-Middle im Netz beispielsweise Session-Cookies extrahieren und so eine verschlüsselte Sitzung kapern. Die Forscher demonstrieren dies in einem Video unter anderem mit Dropbox und GitHub. Ein einfacher Proof-of-Concept dazu wurde ebenfalls bereits veröffentlicht.
Demo des CRIME-Angriffs bei Webseiten wie Dropbox und Github.
Doch ganz so schlimm wie das klingt, ist es dann doch nicht. Denn wie Ivan Ristic von Qualsys in seiner guten Analyse des Problems aufschlüsselt, unterstützt eigentlich nur Chrome TLS Compression richtig; und dessen Entwickler haben das in der aktuellen Version bereits abgeschaltet. Das neuere SPDY können zwar mit Firefox und Chrome die Mehrzahl der eingesetzten Browser, aber laut Qualsys lediglich 0,8 Prozent der Web-Sites. Nutzer von Internet Explorer, Opera oder Safari können sich ausnahmsweise unbeteiligt zurücklehnen; ihr Browser unterstützt solchen Firlefanz nicht. Als Problem könnten sich allerdings Smartphone-Browser und andere Dienste erweisen, die TLS zur Verschlüsselung nutzen.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
