Sicherheitsexperte Rodney Thayer von Canola & Jones hat bei einer Untersuchung von SSL-Zertifikaten auf Business-Websites herausgefunden, dass es mit deren Sicherheit nicht zum Besten bestellt ist. Thayer wird seine Ergebnisse Ende des Monats auf dem 25th Chaos Communication Congress (25C3) präsentieren.
Thayer fand unter anderem heraus, dass viele Webseiten noch unsichere 40-Bit-Zertifikate mit dem RC4-Algorithmus verwenden. Darüber hinaus stellte er fest, dass eine ganze Reihe von "Major Sites" das veraltete SSL2-Protokoll nutzen, das zahlreiche Angriffsmöglichkeiten bietet.
Bei Websites, die aktuelle und sichere Zertifikate verwenden, fand er viele Konfigurationsfehler, die das Zertifikat kompromittieren. Häufigster Fehler ist eine falsche URL der Website. Ein Anbieter, der sich beispielsweise ein Zertifikat auf www.store.com ausstellen lässt, darf diese Website nicht zusätzlich per SSL/TLS unter store.com anbieten. Von dieser Möglichkeit machen allerdings viele Betreiber Gebrauch, um den Komfort für Kunden zu erhöhen.
Auch ein ungültiges Zertifikat verschlüsselt die Daten zwischen Browser und Webserver, jedoch kann sich ein Datendieb per Man-in-the-Middle-Angriff unbemerkt einklinken und Zugangsdaten oder Kreditkarteninformationen verschaffen.
Thayer empfiehlt, Warnungen im Browser über Unregelmäßigkeiten bei Zertifikaten nicht einfach zu ignorieren, sondern ihnen genau nachzugehen. Oft ist das allerdings nicht möglich. Vor allem kleinere Websites erstellen ihre Zertifikate aus Kostengründen selbst mit OpenSSL. Deren Authentizität kann der Browser dann nicht überprüfen.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…