Hackangriffe auf HTTPS

Wissenschaftler zeigt Sicherheitslücken in TLS-Protokollen

Auf der Black Hat 2014 zeigte Antoine Delignat-Lavaud verschiedene Hackerangriffe, die Sicherheitsprobleme in Verschlüsselungsprotokollen offenbaren.

News
VG Wort Pixel
Ein Wissenschaftler zeigt Sicherheitslücken in Verschlüsselungsprotokollen.
Ein Wissenschaftler zeigt Sicherheitslücken in Verschlüsselungsprotokollen.
© blackhat.com / Weka

Auf der Konferenz zur Informationssicherheit "Black Hat 2014 " präsentierte der Forscher Delignat-Lavaud Lösungen zu teilweise bereits bekannten Sicherheitslücken in TPS-Protokollen. Er gehört einer Forschungsgruppe, der sogenannten "Prosecco", an, die am französischen Institut zur Forschung in Computer Science und Automation (INRIA) unter anderem Defizite in den Sicherheitsvorkehrungen von Diensten wie Facebook, Dropbox, LinkedIN, Bing Twitter, Papal und sogar der NSA ermitteln und Lösungen vorschlagen.

TPS-Protokolle, die unter dem Namen SSL-Verschlüsselung bekannter sein dürften, chiffrieren die Datenübertragung vor allem sensibler Dateien im Internet. Doch diese können gehackt werden. Anhand zweier exemplarischer Angriffe in Verbindung mit TPS-Protokollen zeit Delignat-Lavaud neue Lösungsstrategien gegen Hackerangriffe auf.

Antoine Delignat-Lavaud (INRIA, Paris)
Antoine Delignat-Lavaud ist Doktorand und Mitglied des Teams "Prosecco" bei INRIA. Er erwarb den Bachelor of Science in Mathematik und schloss daran den Master of Science in Computer Sciences an.

Zuerst wurde der Hackangriff "Cookie Clutter" vorgeführt. Über die gezielte Aussendung eines Cookie-Doppelgängers kann der Hacker erreichen, dass der Nutzer auf eine vom Hacker kontrollierte Seite weitergeleitet wird. Obwohl die meisten Browser bereits Gegenmaßnahmen ergriffen haben, hat Delignat-Lavaud eine weitere nur Sekunden dauernde Lücke gefunden. Sein Lösungsvorschlag: Entgegen der gängigen Praxis ("Be liberals in what you accept, be conservative in what you send") sollten man Eingaben nicht mehr so großzügig akzeptieren. Es wäre seiner Meinung nach besser, bei fehlerhaften oder unvollständigen Daten besser einen Fehler auszugeben.

Zu einem ähnlichen Schluss kommt er auch beim zweiten Hacker-Experiment, der "Virtual Host Confusion". Delignat-Lavaud schaffte es, unter einem unbekannten Hostnamen Accounts anderer User zu übernehmen. Während der Angriff bei Dropbox durchgeführt wurde, könnte man diese Sicherheitslücke aber auch bei anderen Content-Delivery-Netzwerken wie Akamai ausnutzen. Das ist besonders verheerend, denn Akamai versorgt Websites wie LinkedIn, Twitter, Paypal, Bing, Apple, und sogar die NSA mit Zertifikaten. Weiterhin könnte eine abgeänderte Variante des Hackings auch auf Googles Sicherheitsprotokoll SPDY übertragen werden.

Die Probleme in den Sicherheitsprotokollen und in den Sicherheitsvorkehrungen würden längst keine Neuheiten sein. Laut Delignat-Lavaud würde dies offenbaren, dass Sicherheitsprobleme bisher eher mit einer laxen Praxis behandelt wurden. Es ist wohl erwartbar, dass weitere Hacker-Angriffe dieser Art folgen werden, solange die Lücken nicht geschlossen werden, so vermutet golem.de.

Auch interessant

Tag der Passwortsicherheit 2014

So schützen Sie Ihre Daten

Safer Internet Day

Die besten Tipps für ein sicheres Passwort

PSN-Hack

Sony zahlt 15 Millionen US-Dollar Entschädigung für Angriffe…

Riesiger Internet-Datendiebstahl

Russische Hacker stehlen 1,2 Milliarden Nutzerdaten und…

8.8.2014 von The-Khoa Nguyen

Weiter zur Startseite  

Mehr zum Thema

Telekom-Logo

Telekom-Rechnung

Warnung vor täuschend echten Fake-Rechnungen

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…

Symbolbild für Internet-Sicherheit und Spionage

Schwere IE-Lücke

Sicherheitslücke im Internet Explorer noch ohne Patch

Microsofts Internet Explorer ist von einer schweren Sicherheitslücke betroffen, für die es bislang noch keinen Patch gibt. Hacker können so Code von…

Threema Logo

Sichere Whatsapp-Alternative

Threema bis Sonntag für 99 Cent für iOS, Android und Windows…

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.

Symbolbild: Sicherheit

Free Proxy als Sicherheitsrisiko

Viele kostenlose Proxy-Server unterbinden Verschlüsselung…

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.

© Maxx-Studio / shutterstock

Profi-Hacker gehackt

Hacking Team - fragwürdige Geschäfte und geheime…

Ein Hacker-Angriff auf das Unternehmen Hacking Team offenbart Verkäufe von Spionage-Software an umstrittene Regierungen und neue kritische…