Hacker stellt neue Angriffe auf SSL vor

Die Software "SSLStrip" stiehlt Zugangsdaten für Yahoo, Google und Paypal. Der Man-in-the-middle-Angriff nutzt die Unachtsamkeit von Anwendern aus. Ein Favicon ersetzt die echte SSL-Anzeige.

Moxie Marlinspike hat auf der Black-Hat-Konferenz eine neue Angriffsmethode vorgestellt, mit der sich HTTPS-Verbindungen im Browser abhören lassen. Allerdings ist die beschriebene Methode eine recht simple Man-in-the-middle-Attacke, die auf die Unerfahrenheit vieler Benutzer setzt.

Der von Marlinspike entwickelte Proxy SSLStrip baut darauf, dass Anwender nicht direkt auf HTTPS-URLs gehen, sondern auf eine Portalseite wie http://www.meine-bank.de surfen und erst über einen Link zur eigentlichen Anwendung wie https://homebanking.meine-bank.de gelangen. SSLStrip modifiziert diese Links, so dass die SSL-Verbindungen zu unverschlüsselten Verbindungen werden.

Mit dem echtem Server kommuniziert SSLStrip tatsächlich via HTTPS. Ein Benutzer kann den Angriff ohne Probleme daran erkennen, dass sein Browser über HTTP statt HTTPS kommuniziert. Oft sehen Anwender allerdings nicht so genau hin. Das normalerweise angezeigte Symbol eines Vorhängeschlosses täuscht SSLStrip durch ein Favicon vor. So wird das Schloss zwar nicht an der richtigen Stelle angezeigt, gibt aber trotzdem das falsche Gefühl einer sichereren Verbindung.

Auf diese Weise gelang es Marlinspike, Zugangsdaten von Yahoo, Google und PayPal zu stehlen. Die größte Schwierigkeit liegt laut Marlinspike darin, einen Rechner zu überzeugen, dass er den SSLStrip-Rechner als Proxy oder Router nutzen soll. Relativ einfach gehe das in LANs, führte er aus. Hier könne man mit ARP-Spoofing arbeiten. So ließen sich in einem Firmennetz Zugangsdaten von Kollegen ausspionieren. Im Internet müsse man versuchen, den Nutzern Malware unterzuschieben, die die Proxy-Einstellungen des Browsers manipuliert.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, Hacker, Phishing, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker stellt neue Angriffe auf SSL vor

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *