Angriff auf Cookies

Tool kann SSL angeblich in nur zehn Minuten knacken

Auf der Ekoparty-Sicherheits-Konferenz wollen Juliano Rizzo und Thai Duong SSL-Cookies in ganz kruzer Zeit knacken.

Die Präsentation soll am Freitag den 23. Spetember 2011 stattfinden. Das Tool trägt den klangvollen Namen BEAST (Browser Exploit Against SSL/TLS). Mit BEAST sollen Angreifer im selben Netzwerk SSL-Cookies abfangen und entschlüsseln können. Der Angriff nennt sich "blockwise-adaptive chosen-plaintext" (PDF)

Gegenüber The Register sagte Rizzo, dass BEAST zum Beispiel ein verschlüsseltes PayPal-Cookie in weniger als zehn Minuten knacken kann. Das Geheimnis liege darin, wie BEAST die Daten manipuliert. HTTPS-Seiten sind eigentlich durch Verschlüsselung geschützt. BEAST basiert aber auf JavaScript und muss in den Browser des Opfers eingeschleust werden. Die restliche Arbeit übernimmt ein Netzwerk-Sniffer. Wie die Sache ganz genau funktioniert, halten die Sicherheits-Experten noch hinter dem Vorhang verborgen.

Der Angriff funktioniert nur, wenn die Kommunikation mit TLS Version 1.0 verschlüsselt ist. Ausgabe 1.1, aus dem Jahre 2006, ist nicht anfällig. Allerdings verwenden die meisten HTTPS-Verbindungen immer noch TLS 1.0. Auch die stabile OpenSSL-Version unterstützt das neuere TLS 1.1 noch nicht. Die Entwickler-Ausgabe OpenSSL 1.0.1 tut es hingegen. (jdo)