Heiß gekocht, warm gegessen

Angriff auf SSL-Verschlüsselung nicht ganz so dramatisch

Am Freitag gab es eine Demonstration, wie einfach Sicherheits-Experten die SSL-Kommunikation zwischen dem Browser und PayPal knacken können.

An verschiedenen Stellen wurde schon der Untergang der Internet-Sicherheit prophezeit. Am Freitagabend war es dann so weit und es gab die Demonstration des SSL-Knacks. Die Angriffsmöglichkeit ist laut Kaspersky schon seit zehn Jahren bekannt und hat sich bisher als wenig praktikabel erwiesen. Die Angreifer haben dabei das Vertrauens-Modell ausgenutzt, wie es in Mozillas Firefox implementiert ist. In Google Chrome wurde ein möglicher Exploit bereits vor drei Monaten bereinigt.

Die Sicherheits-Experten mussten schon in die Trickkiste greifen, um die Verschlüsselung zu knacken. Mit reinem Java-Script oder Flash war es nicht möglich. Somit wurde der Exploit in einem Java-Applet untergebracht und dieses hat den Datenstrom zwischen Firefox und https://paypal.com angegriffen. Sie schafften es aber, binnen drei Minuten und einem gestohlenen Session-Cookie Zugriff zu PayPal zu ergattern.

Die Browser-Hersteller werden nun wohl schnell ihre CBC-Verschlüsselungs-Routinen ändern. Die Experten von Kaspersky schätzen das Risiko für diesen Exploit eher als niedrig ein, weil ein Angriff nicht praktikabel ist.

Dennoch adelt Kasperky die Arbeit der Experten als interessant und beeindruckend. Die Leute würden sich mit Verschlüsselung und Kommunikation bestens auskennen. Allerdings wird uns der SSL-Himmel nicht gleich auf den Kopf fallen. (jdo)