Die Sicherheitsforscher Juliano Rizzo und Thai Duong haben einen Exploit entwickelt, der eine Sicherheitslücke in einer weit verbreiteten Technik zur Verschlüsselung von Webseiten ausnutzt. Sie nennen ihren Code BEAST, was laut Kasperskys Blog Threat Post für „Browser Exploit Against SSL/TLS“ steht.
Die Lücke steckt laut Rizzo und Duong in Version 1.0 von Transport Layer Security (TLS), dem Verschlüsselungsmechanismus, der Websites sichert, auf die per HTTS zugegriffen wird. TLS ist der Nachfolger von Secure Sockets Layer (SSL). Es wird hauptsächlich von Banken-Websites und Unternehmen genutzt – etwa Google, Facebook und Twitter.
Rizzo und Duong werden ihren Exploit am Freitag auf der Hackerkonferenz Ekoparty in Argentinien vorstellen. „Wir beschreiben auch eine Anwendung des Angriffs, um Authentifikations-Tokens und Cookies von HTTPS-Anfragen zu beschaffen und effizient zu entschlüsseln“, schreibt Rizzo. „Unser Exploit nutzt eine Schwachstelle aus, die derzeit in der SSL/TLS-Implementierung großer Webbrowser besteht.“
Nach Informationen von ThreatPost funktioniert BEAST, indem es den Browser eines Opfers dazu bringt, JavaScript-Code auszuführen, der mit einem Sniffer zusammenarbeitet, der die Netzwerkkommunikation des Nutzers überwacht. Das geht auch über den Umweg einer iframe-Anzeige. Mit der Methode lässt sich ein Authentifikations-Cookie abgreifen – eine kleine Textdatei, die unter anderem einem Webserver mitteilen kann, dass ein Nutzer autorisiert ist, sich einzuloggen.
The Register zufolge werden die Sicherheitsforscher ihren Exploit vorzeigen, indem sie damit ein Cookie entschlüsseln, das für den Zugriff auf PayPals Bezahlseite zuständig ist. Laut Rizzo dauert es im Moment rund zehn Minuten, den Angriff durchzuführen.
Dennoch ist Adam Langley, TLS-Experte bei Google, nicht besorgt. „Die Sicherheitsforscher haben BEAST Browserherstellern zur Verfügung gestellt, weshalb ich nicht im Detail darüber spreche, bis der Code öffentlich ist. Er ist ganz ordentlich, aber nichts, worüber man sich Sorgen zu machen braucht“, schreibt Langley in einer Twitter-Nachricht.
Sicherheitsforscher Karsten Nohl von der University of Virginia erklärte, der Exploit kombiniere zwei Bereiche der Sicherheitsarbeit: „Kryptoanalyse und clientseitige Angriffe. In diesem Fall wird ein bekanntes clientseitiges Problem – nämlich, dass Websites nicht voneinander abgeschirmt werden – dazu genutzt, eine Annahme der Kryptografie zu kontern: dass der Computer eines Nutzers ihn nicht angreifen wird.“
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…