Moxie Marlinspike hat auf der Black-Hat-Konferenz eine neue Angriffsmethode vorgestellt, mit der sich HTTPS-Verbindungen im Browser abhören lassen. Allerdings ist die beschriebene Methode eine recht simple Man-in-the-middle-Attacke, die auf die Unerfahrenheit vieler Benutzer setzt.
Der von Marlinspike entwickelte Proxy SSLStrip baut darauf, dass Anwender nicht direkt auf HTTPS-URLs gehen, sondern auf eine Portalseite wie http://www.meine-bank.de surfen und erst über einen Link zur eigentlichen Anwendung wie https://homebanking.meine-bank.de gelangen. SSLStrip modifiziert diese Links, so dass die SSL-Verbindungen zu unverschlüsselten Verbindungen werden.
Mit dem echtem Server kommuniziert SSLStrip tatsächlich via HTTPS. Ein Benutzer kann den Angriff ohne Probleme daran erkennen, dass sein Browser über HTTP statt HTTPS kommuniziert. Oft sehen Anwender allerdings nicht so genau hin. Das normalerweise angezeigte Symbol eines Vorhängeschlosses täuscht SSLStrip durch ein Favicon vor. So wird das Schloss zwar nicht an der richtigen Stelle angezeigt, gibt aber trotzdem das falsche Gefühl einer sichereren Verbindung.
Auf diese Weise gelang es Marlinspike, Zugangsdaten von Yahoo, Google und PayPal zu stehlen. Die größte Schwierigkeit liegt laut Marlinspike darin, einen Rechner zu überzeugen, dass er den SSLStrip-Rechner als Proxy oder Router nutzen soll. Relativ einfach gehe das in LANs, führte er aus. Hier könne man mit ARP-Spoofing arbeiten. So ließen sich in einem Firmennetz Zugangsdaten von Kollegen ausspionieren. Im Internet müsse man versuchen, den Nutzern Malware unterzuschieben, die die Proxy-Einstellungen des Browsers manipuliert.
