Die von Marsh Ray und Steve Dispensa entwickelte Angriffsmethode auf SSL/TLS-Verbindungen stellt eine reale Gefahr dar, Man-in-the-Middle-Angriffe so auszuführen, dass auch ein SSL-Serverzertifikat nicht mehr schützen kann. Auch Smartcards mit Client-Zertifikaten bieten keinen Schutz vor diesem Angriff.

Um einen solchen einen Angriff auszuführen, muss sich ein Angreifer jedoch in den physikalischen Übertragungsweg einklinken, etwa beim Provider. Die Wahrscheinlichkeit, dabei entdeckt zu werden, ist sehr hoch, wenn der Provider geeignete Überwachungsmethoden einsetzt.

Um solche Angriffe zu verhindern, sind die Anbieter von sicherheitsempfindlichen Diensten wie Homebanking gefordert. Am Webbrowser des Clients kann nichts getan werden, da der Angreifer einen Browser simulieren kann, der TLS-Renegotiations zulässt. Für alle Anbieter ist es wichtig, ihren Webserver zu patchen und sicherzustellen, dass TLS-Renegotiations einerseits nicht notwendig sind und anderseits abgelehnt werden.

Praktisch lassen sich Man-in-the-Middle-Angriffe auch mit einem gegen den Ray-Dispensa-Angriff gesicherten Server erfolgreich durchführen, da davon auszugehen ist, dass Benutzer einem SSL-Zertifikat vertrauen, welches der Browser nicht als potenziell unsicher moniert. So ein Zertifikat kann sich jedermann besorgen. Schützen kann man sich nur, wenn man jedes Mal einen Blick auf das Zertifikat wirft und überprüft, ob es tatsächlich auf die Bank ausgestellt ist.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

LG zeigt elastisches OLED-Display

Es lässt sich um bis zu 50 Prozent dehnen. Allerdings besitzt es eine deutliche geringere…

1 Woche ago

BSI zu Cybersicherheit: Bedrohungslage bleibt angespannt

Allerdings nimmt auch die Resilienz gegenüber Cyberattacken zu. Das BSI hat außerdem die Cybersicherheit anstehender…

1 Woche ago

IT-Ausgaben in Europa steigen 2025 voraussichtlich um 8,7 Prozent

Es ist das größte Wachstum in einem Jahr seit 2021. Unter anderem lässt das Interesse…

2 Wochen ago

Magento-Agentur für große Webshops: Was sollte die Magento-Agentur leisten können?

Magento zählt zu den führenden Shopsystemen in der Welt. Es punktet mit hoher Flexibilität und…

2 Wochen ago

Trojaner tarnt sich als AutoCAD

SteelFox gelangt über angebliche Cracks für kostenpflichtige Anwendungen auf die Rechner seiner Opfer. Betroffen sind…

2 Wochen ago

Ymir: Ransomware mit ausgeklügelter Verschleierung

Ymir nutzt fortschrittliche Verschleierungsmethoden. Sie verschlüsselt bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung…

2 Wochen ago