Die Sicherheitsforscher Juliano Rizzo und Thai Duong haben einen Exploit entwickelt, der eine Sicherheitslücke in einer weit verbreiteten Technik zur Verschlüsselung von Webseiten ausnutzt. Sie nennen ihren Code BEAST, was laut Kasperskys Blog Threat Post für „Browser Exploit Against SSL/TLS“ steht.
Die Lücke steckt laut Rizzo und Duong in Version 1.0 von Transport Layer Security (TLS), dem Verschlüsselungsmechanismus, der Websites sichert, auf die per HTTS zugegriffen wird. TLS ist der Nachfolger von Secure Sockets Layer (SSL). Es wird hauptsächlich von Banken-Websites und Unternehmen genutzt – etwa Google, Facebook und Twitter.
Rizzo und Duong werden ihren Exploit am Freitag auf der Hackerkonferenz Ekoparty in Argentinien vorstellen. „Wir beschreiben auch eine Anwendung des Angriffs, um Authentifikations-Tokens und Cookies von HTTPS-Anfragen zu beschaffen und effizient zu entschlüsseln“, schreibt Rizzo. „Unser Exploit nutzt eine Schwachstelle aus, die derzeit in der SSL/TLS-Implementierung großer Webbrowser besteht.“
Nach Informationen von ThreatPost funktioniert BEAST, indem es den Browser eines Opfers dazu bringt, JavaScript-Code auszuführen, der mit einem Sniffer zusammenarbeitet, der die Netzwerkkommunikation des Nutzers überwacht. Das geht auch über den Umweg einer iframe-Anzeige. Mit der Methode lässt sich ein Authentifikations-Cookie abgreifen – eine kleine Textdatei, die unter anderem einem Webserver mitteilen kann, dass ein Nutzer autorisiert ist, sich einzuloggen.
The Register zufolge werden die Sicherheitsforscher ihren Exploit vorzeigen, indem sie damit ein Cookie entschlüsseln, das für den Zugriff auf PayPals Bezahlseite zuständig ist. Laut Rizzo dauert es im Moment rund zehn Minuten, den Angriff durchzuführen.
Dennoch ist Adam Langley, TLS-Experte bei Google, nicht besorgt. „Die Sicherheitsforscher haben BEAST Browserherstellern zur Verfügung gestellt, weshalb ich nicht im Detail darüber spreche, bis der Code öffentlich ist. Er ist ganz ordentlich, aber nichts, worüber man sich Sorgen zu machen braucht“, schreibt Langley in einer Twitter-Nachricht.
Sicherheitsforscher Karsten Nohl von der University of Virginia erklärte, der Exploit kombiniere zwei Bereiche der Sicherheitsarbeit: „Kryptoanalyse und clientseitige Angriffe. In diesem Fall wird ein bekanntes clientseitiges Problem – nämlich, dass Websites nicht voneinander abgeschirmt werden – dazu genutzt, eine Annahme der Kryptografie zu kontern: dass der Computer eines Nutzers ihn nicht angreifen wird.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…