Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Die verschlüsselte Variante des für die Übertragung von Websites verwendeten HTTP-Protokolls, HTTPS, kommt heutzutage überall dort zum Einsatz, wo die Datenübertragung besonders abgesichert werden muss. Besonders wichtig ist das natürlich beim Einkaufen im Internet und beim Online-Banking, aber auch an vielen anderen Stellen müssen sensible Daten und Login-Informationen geschützt werden. Gerade weil HTTPS so weit verbreitet ist, um wichtige Transaktionen zu schützen, stimmten schon die in letzter Zeit immer eindeutiger werdenden Hinweise auf Schwächen in diesem Protokoll viele Sicherheitsforscher, aber auch sicherheitsbewusste Computernutzer, sehr besorgt. Der nun von Marlinspike vorgestellte Hack könnte diese Besorgnis noch einmal erheblich anwachsen lassen.
Marlinspike ging allerdings nicht gegen die Verschlüsselung als solche vor. Statt dessen entwickelte er ein Tool (getauft auf den passenden Namen "sslstrip"), das dem Browser vortäuscht, es läge eine SSL-verschlüsselte Verbindung vor, während in Wirklichkeit nur eine einfache, unverschlüsselte HTTP-Verbindung existiert. Unverschlüsselter HTTP-Datenverkehr kann mit Hilfe bekannter Sniffer-Programme wie beispielsweise Wireshark problemlos mitgelesen und analysiert werden. Genaue Einzelheiten zur Funktionsweise von sslstrip sind bisher noch nicht veröffentlicht.
Marlinspike kann aus zuvor durchgeführten Tests beeindruckende Erfolge mit dem neuen Tool vorweisen. Über den Anonymisierungsdienst TOR ließ er das Tool 24 Stunden lang testweise laufen. Dabei fing er nach eigenen Angaben 114 Yahoo-Logins, 50 Gmail-Logins, Daten für 9 Paypal-Accounts, 9 linkedin-Logins und die Benutzerdaten von 3 Facebook-Benutzern ab. Die persönlichen Daten speicherte er allerdings nicht, da es ihm nur um einen "Proof of Concept" ging, also darum, zu beweisen, dass sein Tool funktioniert. Schaden wollte Marlinspike mit seinen Aktivitäten niemandem.
Das allerdings dürfte nicht jeder so sehen, der diesen Angriff möglicherweise in Zukunft durchführt - die von Marlinspike entdecke Sicherheitslücke könnte sich durchaus als begehrtes Betätigungsfeld von Cyberkriminellen erweisen. Wie also kann man sich schützen? Hierzu hatte Marlinspike selbst zunächst keine wirklich hilfreichen Ideen. Er erhielt allerdings Unterstützung von anderen auf der Black Hat anwesenden Sicherheitsexperten. So schlug DNS-Experte Dan Kaminsky vor, DNSSEC zu benutzen, um die fragliche Domain zu validieren und die Benutzer gegebenenfalls auf die legitime, SSL-verschlüsselte Version umzuleiten. Marlinspike selbst hatte einen noch drastischeren Vorschlag, an dessen Umsetzung er allerdings selbst nicht glaubt: Er regte an, das komplette Internet auf ein verschlüsseltes Protokoll umzustellen. (Annika Kremer)
(via InternetNews, thx!)
(Bildquelle: InternetNews, thx!)
News Redaktion am Donnerstag, 19.02.2009 04:31 Uhr
Tags:
ssl
facebook
cybercrime
kaminsky
dns
gmail
http
https
linkedin
marlinspike
tls
yahoo
blackhat
tor
sslstrip
Es gibt schon seit Jahren IPSec, was die Nutzdaten eines IP-Pakets verschlüsselt. In IPv6 ist es verpflichtend und wurde auch schon lange für IPv4 portiert. :rolleyes: In eine niedrigere Schicht kann man nicht mehr verschlüsseln, schließlich muss der Absender und Empfänger lesbar sein, sonst ...
so sehe ich das auch ! Es wurde ja schon zu oft nur angeregt und damit nur gedroht. Eine Verschlüsselung gehört direckt in die Protokolle mit eingebunden.. so fern das geht (ich selbst kann ja nicht programmieren) sowie ein generrelles Tunneling ein zu führen und eine gewisse eigene Selbstverwal ...
Auf der IT-Sicherheitskonferenz Black Hat stellte Sicherheitsexperte Moxie Marlinspike einen sehr effektiven Angriff auf SSL-verschlüsselte HTTPS-Websites vor. Die verschlüsselte Variante des für die Übertragung von Websites verwendeten HTTP-Protokolls, HTTPS, kommt heutzutage überall d ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
