Weitere Löcher im SSL-Sicherheitsprotokoll von Web gefunden

Sicherheitsforscher haben welche gefunden schwerwiegende Fehler in Software, die das SSL (Secure Sockets Layer) Verschlüsselungsprotokoll verwendet, um die Kommunikation im Internet zu sichern.

Auf der Black Hat-Konferenz in Las Vegas am Donnerstag enthüllten die Forscher eine Reihe von Angriffen, die genutzt werden könnten, um die Sicherheit zu gefährden Datenverkehr zwischen Websites und Browsern.

Diese Art von Angriff könnte einem Angreifer erlauben, Passwörter zu stehlen, eine Online-Banking-Sitzung zu kapern oder sogar ein Firefox-Browser-Update mit bösartigem Code zu veröffentlichen, sagten die Forscher.

Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die Probleme liegen in der Art und Weise, in der viele Browser SSL implementiert haben, sowie im X.509-Public-Key-Infrastruktursystem, das zur Verwaltung der verwendeten digitalen Zertifikate verwendet wird durch SSL, um zu bestimmen, ob eine Website vertrauenswürdig ist oder nicht.

Ein Sicherheitsforscher, der sich Moxie Marlinspike nennt, zeigte eine Möglichkeit, SSL-Verkehr mit einem, wie er es nennt, Nullbeendigungszertifikat abzufangen. Damit sein Angriff funktioniert, muss Marlinspike seine Software zunächst in einem lokalen Netzwerk installieren. Einmal installiert, entdeckt er SSL-Verkehr und präsentiert sein Null-Terminierungszertifikat, um die Kommunikation zwischen dem Client und dem Server abzufangen. Diese Art von Man-in-the-Middle-Angriff ist nicht nachweisbar.

Marlinspikes Angriff ist bemerkenswert ähnlich zu einem anderen bekannten Angriff, der als SQL-Injection-Angriff bezeichnet wird und speziell gestaltete Daten an das Programm sendet etwas tun, was es normalerweise nicht tun sollte. Er stellte fest, dass einige Programme die Zertifikate fälschlicherweise interpretierten, wenn er Zertifikate für seine eigene Internetdomäne mit Nullzeichen erstellte - oft mit einem 0 dargestellt.

Das liegt daran, dass einige Programme aufhören, Text zu lesen, wenn sie ein Nullzeichen sehen. Ein auf www.paypal.com o.thoughtcrime.org ausgestelltes Zertifikat könnte daher als zu www.paypal.com gehörend gelesen werden.

Das Problem ist weit verbreitet, so Marlinspike, was Internet Explorer, VPN-Software (virtuelles privates Netzwerk) betrifft, E-Mail-Clients und Instant-Messaging-Software, und Firefox-Version 3.

Zu ​​allem Überfluss berichteten die Forscher Dan Kaminsky und Len Sassaman, dass sie festgestellt haben, dass eine große Anzahl von Web-Programmen von Zertifikaten abhängig ist, die veraltete Verschlüsselungsverfahren verwenden Technologie namens MD2, die seit langem als unsicher angesehen wird. MD2 wurde nicht wirklich geknackt, aber es könnte innerhalb weniger Monate durch einen entschlossenen Angreifer gebrochen werden, sagte Kaminsky.

Der MD2-Algorithmus wurde vor 13 Jahren von VeriSign verwendet, um "eines der Stammzertifikate in Jeder Browser auf dem Planeten ", sagte Kaminsky.

VeriSign hat im Mai mit der Unterzeichnung von Zertifikaten mit MD2 aufgehört, sagte Tim Callan, Vice President für Produktmarketing bei VeriSign.

Allerdings" verwenden viele Websites diese Wurzel, also wir können es nicht wirklich töten oder wir werden das Internet kaputt machen ", sagte Kaminsky.

Softwarehersteller können jedoch ihren Produkten sagen, dass sie MD2-Zertifikaten nicht trauen; Sie können ihre Produkte auch so programmieren, dass sie für den Null-Terminations-Angriff nicht anfällig sind. Bis heute ist Firefox 3.5 der einzige Browser, der das Problem der Nullkündigung behoben hat, sagten die Forscher.

Dies ist das zweite Mal im letzten halben Jahr, dass SSL in die engere Wahl gekommen ist. Ende letzten Jahres fanden die Forscher eine Möglichkeit, eine Rogue-Zertifizierungsstelle zu erstellen, die ihrerseits gefälschte SSL-Zertifikate ausstellen könnte, die von jedem Browser akzeptiert würden.

Kaminsky und Sassaman sagen, es gibt eine Reihe von Problemen mit SSL-Zertifikaten ausgestellt, die sie unsicher machen. Alle Forscher waren sich einig, dass das x.509-System, das zur Verwaltung von Zertifikaten für SSL verwendet wird, veraltet ist und repariert werden muss.