Hersteller versuchen Fehler in Net's Sicherheit zu beheben

Software-Hersteller herum Die Welt kämpft, um einen ernsthaften Fehler in der Technologie zur sicheren Übertragung von Informationen im Internet zu beheben.

Der Fehler liegt im SSL-Protokoll, das als Technologie zum sicheren Browsen auf Websites beginnend mit HTTPS bekannt ist Angreifer fangen sichere SSL-Verbindungen (Secure Sockets Layer) zwischen Computern unter Verwendung eines so genannten Man-in-the-Middle-Angriffs ab.

Obwohl der Fehler unter bestimmten Umständen nur ausgenutzt werden kann, kann er auf gemeinsam genutzten Servern verwendet werden Hosting-Umgebungen, Mail-Server, Datenbanken und viele andere sichere Anwendungen, so Chris Paget, ein Sicherheitsforscher, der das Problem untersucht hat.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Es ist ein Fehler auf Protokollebene. " sagte Paget, der Chief Technology Officer mit einer Sicherheitsberatung namens H4rdw4re. "Es gibt eine ganze Menge Sachen, die in diesem Fall behoben werden müssen: Webbrowser, Web-Server, Web-Load-Balancer, Web-Beschleuniger, Mail-Server, SQL-Server, ODBC-Treiber, Peer-to-Peer-Protokolle."

Obwohl ein Angreifer sich zuerst in das Netzwerk des Opfers hacken müsste, um den Man-in-the-Middle-Angriff zu starten, wären die Ergebnisse dann verheerend - insbesondere wenn er bei einem gezielten Angriff auf eine Datenbank oder einen Mail-Server zugreifen würde, Sagte Paget.

Da SSL so weit verbreitet ist, wird SSL ständig von Sicherheitsforschern unter die Lupe genommen. Ende letzten Jahres fanden die Forscher einen Weg, gefälschte SSL-Zertifikate zu erstellen, denen jeder Browser vertrauen würde. Im August enthüllten die Forscher eine Handvoll neuer Angriffe, die den SSL-Datenverkehr beeinträchtigen könnten. Aber im Gegensatz zu diesen Angriffen, die mit der Infrastruktur für die Verwaltung der digitalen SSL-Zertifikate zu tun hatten, liegt dieser neueste Fehler im SSL-Protokoll selbst und wird sehr viel schwieriger zu beheben sein.

Erschwerend kommt hinzu, dass der Fehler versehentlich aufgetreten ist Sie wurde am Mittwoch in einer obskuren Mailingliste veröffentlicht und zwingt Anbieter zu einem wahnsinnigen Aufwand, um ihre Produkte zu patchen.

Das Problem wurde im August von Forschern von PhoneFactor, einer Mobiltelefon-Sicherheitsfirma, entdeckt. Sie arbeiteten in den letzten zwei Monaten mit einem Konsortium von Technologieanbietern namens ICASI (Industriekonsortium zur Förderung der Sicherheit im Internet), um eine branchenweite Lösung für das Problem zu koordinieren, genannt "Project Mogul".

Aber ihre Sorgfältige Pläne wurden am Mittwoch in Unordnung gebracht, als der SAP-Ingenieur Martin Rex selbstständig über den Fehler stolperte. Da er sich der Schwere des Problems nicht bewusst war, veröffentlichte er seine Beobachtungen zu diesem Thema auf einer IETF-Diskussionsliste (Internet Engineering Task Force). Es wurde dann von Sicherheitsforscher HD Moore veröffentlicht.

Bis Mittwoch Nachmittag sprachen genug Leute über das Problem, dass PhoneFactor entschied, mit ihren Entdeckungen an die Öffentlichkeit zu gehen. "An diesem Punkt hatten wir das Gefühl, dass die bösen Jungs es wussten und wir fühlten, dass wir eine Verantwortung dafür hatten, dass die Guten es auch wissen", sagte Sarah Fender, Vice President of Marketing bei PhoneFactor.

Fender konnte nicht sagen, wer bereit war zu patchen Das Problem, aber sie merkte an, dass eine Reihe von Open-Source-Produkten "ängstlich" sind, einen Patch herauszuschieben. "Ich denke, wir werden in naher Zukunft Flicken sehen", sagte sie.

Die ICASI konnte am Mittwochabend nicht für einen Kommentar erreicht werden.

Obwohl Sicherheitsexperten sagen, dass der Fehler wahrscheinlich seit Jahren existiert, ist dies nicht der Fall "

" Obwohl wir es für eine materielle Schwachstelle halten, ist es nicht das Ende der Welt ", sagte Fender.