HTTPS - Verschlüsselte Datenübertragung ist nicht sicher

[Snitlev]

Eine schon bekannte Sicherheitslücke in der Datenübertragung per HTTPS konnte erstmals ausgenutzt werden. Von dem Hack ist nicht nur das Onlinebanking betroffen.

Ein einziger Buchstabe wiegt die Nutzer von Onlinebanking-Seiten in Sicherheit: das "s" im Adresspräfix https. Das steht für Hypertext Transfer Protocol Secure – also sicheres Übertragungsprotokoll. Internetadressen, die mit https beginnen, verschlüsseln die Kommunikation zwischen Website und Nutzer. Ein Angreifer, der sich in diese Kommunikation beispielsweise mit einem sogenannten "Man in the middle-Angriff" einklinkt, sieht keinen Klartext. Zwei Sicherheitsexperten behaupten nun, dass genau das doch möglich ist.
Den beiden ist es nach eigenen Angaben gelungen, die lange als abhörsicher geltende Technologie zu entschlüsseln. Ein "Mann in der Mitte" könnte mit ihrer Methode die vermeintlich sicheren Sitzungen beim Onlinebanking, bei Onlinehändlern, aber auch beim Instant Messaging kapern und für seine Zwecke nutzen.

Quelle: HTTPS: Verschlüsselte Datenübertragung ist nicht sicher | Digital | ZEIT ONLINE

Zumindest sicherer als ohne S (Verschlüsselung):

SSL steht dabei für Secure Sockets Layer. Es ist die bei Https-Verbindungen genutzte Verschlüsselung, um transportierte Daten unlesbar zu machen.

Quelle: HTTPS: Verschlüsselte Datenübertragung ist nicht sicher | Digital | ZEIT ONLINE

Das dieses SSL keine 100% Sicherheit bedeutet sollte unseren Forenteilnehmern klar sein, denn auch manche Tracker die diese SSL nutzen wissen auch das es keinen absoluten 100% Schutz gibt...

mfg

[Renk]

I think it is cautious to have the following FF addons installed:


Certificate Patrol
(reveals when certificate change)


SSL Guard
(protects against certain type of MITM attacks, for more information see here)

[v6ph1]

Für interessierte nochmal der dazugehörige Artikel bei Heise:
Tool soll SSL-Cookies in zehn Minuten knacken | heise Security

Die Forscher Juliano Rizzo und Thai Duong wollen kommenden Freitag auf der Sicherheitskonferenz ekoparty in Buenos Aires ein Tool namens BEAST (Browser Exploit Against SSL/TLS) vorstellen, mit dem ein Angreifer im gleichen Netz via SSL übertragene Browsercookies abgreifen und entschlüsseln können soll. Dazu führen die Forscher einen sogenannten "Block-wise chosen-plaintext"-Angriff (PDF) auf die verschlüsselten Pakete durch.

Um das ganze mal zusammenzufassen:
1. SSL selbst ist nicht geknackt!
2. Man kann Cookies bei bekannter Struktur unter Umständen knacken.

Zum Verständnis erstmal:
Der Choosen-Plain-Text-Angriff funktioniert wie folgt:
Man verschafft sich Zugriff zum Sender (offensichtlich via JS im Browser).
Dann lässt man sich ausgewählte Nachrichten verschlüsseln. (Ein Cookie mit passenden Daten)
Passt das Verschlüsselte Cookie nicht zum selbsterstellten Cookie, ändert man das Cookie und versucht es erneut.

Und das solange, bis man das korrekte Cookie erraten hat.
Dabei hilft, dass >90% der Daten im Cookie bereits bekannt sind (Schlüsselwörter, Name) und man nur noch den Anmeldeschlüssel fälschen muss.

Weiterhin findet die Verschlüsselung Blockweise statt, sodass man jeden Block durch probieren einzeln raten kann.

Das alles funktioniert aber nur mit SSL/TLS 1.0.
Die neueren Versionen sind nicht anfällig, werden aber nur von Opera, Internet Explorer und sehr wenigen Webservern unterstützt.

mfg
v6ph1

[Instab]

hier noch der link zum originalartikel: Hackers break SSL encryption used by millions of sites ? The Register