GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 15:47 - 24.09.2011 Technische Warnung des Buerger-CERT [Bcert-2011-0066/1]: Angriffsmethode auf SSL-/TLS-Verbindungen veroeffentlicht Risiko: Mittel Betroffene Systeme: Alle Browser mit der TLS 1.0 Verschluesselungsprotokoll-Implementierung Empfehlung: Kurzfristig ist mit Workaround-Patches der Browserfamilien zu rechnen, die die Wahrscheinlichkeit eines erfolgreichen Angriffs z.B. durch Padding mit zufaelligen Zeichen verringern. Bis dahin koennen Anwender mit einigen Massnahmen die Wahrscheinlichkeit eines erfolgreichen Angriffs zwar nicht ausschliessen, aber zumindest reduzieren. Als Verteidigung gegen das Einschleusen fremden Codes in eine Verbindung empfehlen sich die folgenden Massnahmen. - HTTPS-Verbindungen sollten mit einem frisch gestarteten Browser durchgefuehrt werden - Das Oeffnen von anderen Webseiten (z.B. durch Tabs oder parallele Fenster) sollte waehrend schuetzenswerter Sitzungen vermieden werden. - SSL-Verbindungen sollten moeglichst kurz gehalten werden und aktiv durch Ausloggen aus der Webanwendung und anschliessendes Schliessen des Browsers beendet werden. - Da nach bisherigem Kenntnisstand die aufwaendigen Berechnungen des Angriffs Java benoetigen (nicht zu verwechseln mit JavaScript), sollten Java-Plugins im Browser deaktiviert werden. Die Schwachstelle ist zwar in den TLS-Versionen 1.1 und 1.2 nicht mehr vorhanden, diese werden aber bisher von so gut wie keinem Browser unterstuetzt. Darueber hinaus muessen auch die Webserver-Hersteller erst diese Version kompatibel zu den Browsern entwickeln und aktivieren. Beschreibung: Durch eine Schwachstelle in der Verschluesselungsprotokoll-Implementierung TLS 1.0 ist es entfernten Angreifern moeglich, eine per HTTPS verschluesselte Browsersitzung zu uebernehmen [1]. Beispiele fuer solche verschluesselten Online-Sitzungen sind z. B. Online-Banking, Nutzung von webbasierten E-Mail-Diensten, soziale Netzwerke, Zahlvorgaenge in Online-Shops etc. Eine Ausnutzung der Schwachstelle ermoeglicht den Diebstahl von sogenannten SSL-Session-Cookies. Dadurch kann der Angreifer im Kontext des angemeldeten Benutzers Aktionen innerhalb der entsprechenden Webanwendung ausfuehren. Voraussetzung fuer die Durchfuehrung des Angriffs ist ein vorgelagerter Man-in-the-Middle-Angriff, wie er z. B. in offenen WLANs oder fuer Angreifer im selben Netz moeglich ist. Nach derzeitigem Kenntnisstand sind von der SSL-/TLS-Schwachstelle saemtliche Browser betroffen. Quellen: [1] [url]ekoparty Security Conference http://ekoparty.org/cronograma.php[/url] ----------------------------------------------------------------------- Diese Technische Warnung ist ein kostenloses Service-Angebot des Buerger-CERT, http://www.buerger-cert.de. Die Informationen werden mit groesster Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden. Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Piranha
Boardkaiser Beiträge: 2746
|
Gesendet: 17:47 - 24.09.2011 Naja, diese Warnungen sind sicherlich gut gemeint, aber das grenzt schon an Panikmache. Für alle Unwissenden: "Man in the Middle", das heisst soviel wie, beim Provider am Router sitzt ein Typ mit direktem Zugriff auf den Router, der alle eingehenden und ausgehenden Daten mitlesen kann UND der aus der gigantischen Menge an Daten eine ganz bestimmte Verbindung herausfiltern kann UND das auch noch genau meine Verbindung ist UND ich zu genau dieser Zeit über genau diese Verbindung online Banking mache. In Heim- oder Firmen-Netzwerken, oder öffentlichen WLANs kann das auch der Admin vom internen Router sein, aber selbst da ist die Datenmenge gigantisch. Jeder noch so kleine Download produziert 100.000 mal mehr Traffic als jedes online Banking. An der Stelle schalte ich schon ab, denn WENN es bei meinem Provider im Hochsicherheitstrakt der Datenzentrale jemanden gibt, der sämtliche Daten lesen kann die über den Router gehen und dieser dann auch noch kriminell veranlagt oder bestechlich ist, dann hat der ganz andere Möglichkeiten, der muss nicht warten, bis ein User online Banking betreibt um Unfug anzustellen. Effektiv gibt es keinen Schutz gegen den "Man in the Middle", man kann nur seinem Provider, bzw. dem Netzwerk-Admin vertrauen, dass die ihr Personal sorgfältig auswählen und solche Positionen nur mit Leuten besetzt werden, denen man wirklich vertrauen kann. Wenn also eine wie auch immer geartete Schwachstelle einen Man in the Middle voraussetzt, dann kann man das schlicht vergessen. |
Seiten mit Postings: 1 | - Angriffsmethode auf SSL-/TLS-Verbindungen veroeffentlicht - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002558 | S: 1_2 |