Hackangriffe auf HTTPS

Wissenschaftler zeigt Sicherheitslücken in TLS-Protokollen

Auf der Black Hat 2014 zeigte Antoine Delignat-Lavaud verschiedene Hackerangriffe, die Sicherheitsprobleme in Verschlüsselungsprotokollen offenbaren.

Ein Wissenschaftler zeigt Sicherheitslücken in Verschlüsselungsprotokollen.

© blackhat.com / Weka

Ein Wissenschaftler zeigt Sicherheitslücken in Verschlüsselungsprotokollen.

Auf der Konferenz zur Informationssicherheit "Black Hat 2014 " präsentierte der Forscher Delignat-Lavaud Lösungen zu teilweise bereits bekannten Sicherheitslücken in TPS-Protokollen. Er gehört einer Forschungsgruppe, der sogenannten "Prosecco", an, die am französischen Institut zur Forschung in Computer Science und Automation (INRIA) unter anderem Defizite in den Sicherheitsvorkehrungen von Diensten wie Facebook, Dropbox, LinkedIN, Bing Twitter, Papal und sogar der NSA ermitteln und Lösungen vorschlagen.

TPS-Protokolle, die unter dem Namen SSL-Verschlüsselung bekannter sein dürften, chiffrieren die Datenübertragung vor allem sensibler Dateien im Internet. Doch diese können gehackt werden. Anhand zweier exemplarischer Angriffe in Verbindung mit TPS-Protokollen zeit Delignat-Lavaud neue Lösungsstrategien gegen Hackerangriffe auf.

Antoine Delignat-Lavaud (INRIA, Paris)
Antoine Delignat-Lavaud ist Doktorand und Mitglied des Teams "Prosecco" bei INRIA. Er erwarb den Bachelor of Science in Mathematik und schloss daran den Master of Science in Computer Sciences an.

Zuerst wurde der Hackangriff "Cookie Clutter" vorgeführt. Über die gezielte Aussendung eines Cookie-Doppelgängers kann der Hacker erreichen, dass der Nutzer auf eine vom Hacker kontrollierte Seite weitergeleitet wird. Obwohl die meisten Browser bereits Gegenmaßnahmen ergriffen haben, hat Delignat-Lavaud eine weitere nur Sekunden dauernde Lücke gefunden. Sein Lösungsvorschlag: Entgegen der gängigen Praxis ("Be liberals in what you accept, be conservative in what you send") sollten man Eingaben nicht mehr so großzügig akzeptieren. Es wäre seiner Meinung nach besser, bei fehlerhaften oder unvollständigen Daten besser einen Fehler auszugeben.

Zu einem ähnlichen Schluss kommt er auch beim zweiten Hacker-Experiment, der "Virtual Host Confusion". Delignat-Lavaud schaffte es, unter einem unbekannten Hostnamen Accounts anderer User zu übernehmen. Während der Angriff bei Dropbox durchgeführt wurde, könnte man diese Sicherheitslücke aber auch bei anderen Content-Delivery-Netzwerken wie Akamai ausnutzen. Das ist besonders verheerend, denn Akamai versorgt Websites wie LinkedIn, Twitter, Paypal, Bing, Apple, und sogar die NSA mit Zertifikaten. Weiterhin könnte eine abgeänderte Variante des Hackings auch auf Googles Sicherheitsprotokoll SPDY übertragen werden.

Die Probleme in den Sicherheitsprotokollen und in den Sicherheitsvorkehrungen würden längst keine Neuheiten sein. Laut Delignat-Lavaud würde dies offenbaren, dass Sicherheitsprobleme bisher eher mit einer laxen Praxis behandelt wurden. Es ist wohl erwartbar, dass weitere Hacker-Angriffe dieser Art folgen werden, solange die Lücken nicht geschlossen werden, so vermutet golem.de.

Mehr zum Thema

Telekom-Logo
Telekom-Rechnung

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…
Symbolbild für Internet-Sicherheit und Spionage
Schwere IE-Lücke

Microsofts Internet Explorer ist von einer schweren Sicherheitslücke betroffen, für die es bislang noch keinen Patch gibt. Hacker können so Code…
Threema Logo
Sichere Whatsapp-Alternative

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.
Symbolbild: Sicherheit
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.
© Maxx-Studio / shutterstock
Profi-Hacker gehackt

Ein Hacker-Angriff auf das Unternehmen Hacking Team offenbart Verkäufe von Spionage-Software an umstrittene Regierungen und neue kritische…