Ergebnis 1 bis 4 von 4
  1. #1
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.119
    Points
    6.805
    Level
    54
    Level completed: 28%, Points required for next Level: 145
    Overall activity: 46,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive

    „SSL-Verschlüsselung ist ein großes Risiko“

    SSL-Verschlüsselung laut Studie unsicher
    Einer Analyse von rund einer Million Webseiten zufolge ist die Verschlüsselungstechnik Secure Sockets Layer (SSL) nicht wirklich sicher. Zu diesem Ergebnis kommt jedenfalls die Münchner Firma SecureNet, die sich auf Anwendungssicherheit spezialisiert hat.


    Ist SSL sicher ?
    Die Studie kommt zu dem überraschenden Ergebnis, dass bei 99% der untersuchten Seiten vertrauliche Informationen in Webanwendungen wie etwa Online-Banking, Webmailkonten oder Business-Portalen trotz der Verschlüsselung nicht sicher sind. Das Unternehmen hatte mittels einer seit 2009 bekannten Angriffstechnik, mit der es möglich ist, die SSL-Verschlüsselung im Browser auszuschalten, die Seiten geprüft. Der Prüfung standhalten konnten nur die wenigsten.

    Diese Angriffstechnik funktioniert einerseits, weil die ursprüngliche Verbindung unverschlüsselt abläuft. Ein "Man in the Middle" (MiM) schaltet sich an geeigneter Stelle dazwischen und kann damit jeden https-Link, der vom Server zurück kommt, wieder in einen http-Link umwandeln und damit die Verbindung zwischen ihm und dem Nutzer unverschlüsselt halten. Andererseits funktioniert die Technik, da der "MiM" den zweiten Teil der Verbindung, also die Verbindung zwischen ihm selbst und dem Server per https durchführt, sodass der Server den Angriff nicht erkennen und abwehren kann.

    Den für dieses Problem bestehenden Schutzmechanismus gibt es ebenfalls seit 2009, allerdings nutzen ihn die wenigsten. Die Technik mit dem Namen HTTP Strict Transport Security (HSTS) ermöglicht es dem Server den Browser zu "zwingen" ausschließlich https-Links zu schicken. Die Analyse der Münchner Firma hat aber offenbart, dass diese Form des Schutzes vor Angriffen kaum jemand nutzt und stellt fest, dass "international weniger als 0,5% und in Deutschland weniger als 0,1% ihre Websites mit dieser Technik schützen." Bei den deutschen Banken, so die Studie, seien es von 423 geprüften Online-Präsenzen gerade einmal sechs. Unter den geprüften Seiten sind zum Beispiel 40.000 der meistbesuchten deutschen Seiten und vor allem das Online-Banking-Modul von ausgewählten deutschen Bankinstituten.

    Thomas Schreiber, Geschäftsführer der SecureNet GmbH, empfiehlt: "Solange HSTS nicht standardmäßig zum Einsatz kommt, sollten Unternehmen, die verhindern wollen, dass ihre Mitarbeiter zum Sicherheitsrisiko werden, deren Laptops und Homeoffice-PCs per VPN ins Unternehmens-LAN zwingen." Nutzung der Browser Internet Explorer 9 und 10 von Microsoft sei ebenfalls nicht ratsam, so Schreiber weiter, da diese Versionen HSTS nicht unterstützen.
    Quelle
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


  2. Bedankos Struppi bedankte(n) sich für diesen Post
  3. #2
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.119
    Points
    6.805
    Level
    54
    Level completed: 28%, Points required for next Level: 145
    Overall activity: 46,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive
    29C3
    „SSL-Verschlüsselung ist ein großes Risiko“
    Die Datenübertragung per HTTPS ist nicht so sicher, wie viele denken. Wie der niederländische Security-Forscher Axel Arnbak im Rahmen des Hacker-Kongresses 29C3 warnte, stellen Zertificate Authorities Sicherheitslücken dar. Zwar will die EU 2013 regulierend einschreiten - alle Probleme mit SSL werden damit aber nicht gelöst.

    Eigentlich gilt das Kürzel “https” (HyperText Transfer Protocol Secure) am Anfang einer Web-Adresse als Garant für die sichere Datenübertragung. So werden aber nicht nur zwischen Browser und Webseite Daten sicher übermittelt - die SSL-Verschlüsselung kommt auch bei automatischen Software-Updates oder bei Machine-2-Machine-Kommunikation (z.B. in Krankenhäusern) zum Einsatz. Auch hier soll verhindert werden, das ein Angreifer mit einer so genannten Man-In-The-Middle-Attacke den Datenaustausch abhören kann. Insgesamt ist SSL (Secure Sockets Layer) eine der wichtigsten Technologien, was Privatsphäre und Datenschutz im Internet angeht.

    Doch genau vor der Verschlüsselungstechnologie warnte der niederländische Sicherheitsforscher Axel Arnbak von der Universität Amsterdam im Rahmen des Hacker-Kongresses 29C3. „SSL-Verschlüsselung ist ein großes Risiko“, so Arnbak. “Das System ist grundlegend defekt, und irgend jemand muss es reparieren."

    Zertifizierungsstelle als Sicherheitslücke
    Eines der Hauptprobleme des Verschlüsselungsstandard seien die Zertifikatsstellen (Certificate Authorities, kurz CA). Diese vergeben Zertifikate, die dafür sorgen, dass Daten verschlüsselt übertragen werden können. Banal ausgedrückt: Die miteinander kommunizierenden Stellen A (z.B. der Browser) und B (z.B. eine Webseite) verständigen sich per Zertifikat auf eine Art der Verschlüsselung. Laut Arnbak sei das Geschäft mit den Zertifikaten aber komplett intransparent und deswegen ein großes Problem. Die weltweit rund 650 Zertifizierungsstellen würden 54 verschiedenen Gesetzgebungen unterliegen, und etwa 50 CAs würden autoritären Staaten wie China oder dem Jemen gehören, die nicht unbedingt für die Wahrung der Privatsphäre von Bürgern bekannt sind.

    Welche Gefahr Zertifizierungsstellen darstellen können, zeigt der Fall der niederländischen DigiNotar 2011. Der Server von DigiNotar, auf dem die Zertifikate gespeichert waren, wurde gehackt (Insidern zufolge kam der Angriff aus dem Iran). In Folge sei es den Hackern möglich gewesen, die Datenübertragung zu Webseiten wie Google.com, Skype.com, Cia.gov, Facebook.com abzufangen, so Arnbak. Die holländische Regierung, die DigiNotar anschließend verstaatlichte, riet der Bevölkerung damals hilflos, einfach das Internet nicht zu nutzen. Bis heute seien DigiNotar-Zertifikate erlaubt, etwa für Steuerdaten, so Arnbak.

    EU will regulierend einschreiten
    Die EU will dieser zerfahrenen Situation jetzt beikommen und mit der „eSignatures Regulation“ (PDF) eine Richtlinie beschließen, die die SSL-Verschlüsselung erstmals regulieren soll. Ihr zufolge wären Zertifizierungsstellen voll haftbar, wenn sie nachlässig bei der Ausstellung von Zertifikaten oder dem Schutz ihrer Systeme sind. Doch Arnbak sieht auch hier einige Probleme: Nur große Zertifizierungsstellen könnten sich das leisten und sich gegen Schäden bei IT-Riesen wie Google absichern. Zudem seien EU-Regeln nicht weltweit gültig - im WWW also kaum brauchbar.

    Die Schuld bei den Problemen mit der SSL-Verschlüsselung sei aber nicht nur bei den Zertifizierungsstellen und Regulierungsbehörden zu suchen, sondern auch bei den Betreibern von Webseiten und den Nutzern selbst. Laut der Webseite SSL Pulse sind aktuell nur 15,6 Prozent der 180.000 weltweit meistbesuchten Webseiten auf dem aktuellsten Stand in punkto SSL-Verschlüsselung. Außerdem würden die User selbst der Sicherheit der Datenübertragung nur wenig Aufmerksamkeit schenken. “Warnungen des Browsers vor schlechten Zertifikaten werden einfach weggeklickt”, so Arnbak.
    Quelle
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


  4. Bedankos Struppi bedankte(n) sich für diesen Post
  5. #3
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.119
    Points
    6.805
    Level
    54
    Level completed: 28%, Points required for next Level: 145
    Overall activity: 46,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive
    Windows: Dynamische Zertifikat-Updates gefährden SSL-Verschlüsselung

    Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen, denn über eine weitgehend unbekannte Funktion kann Microsoft dem Betriebssystem jederzeit neue Stammzertifikate unterschieben. Mit solchen Stammzertifikaten lassen sich dann beliebige andere Zertifikate beglaubigen.

    Das Nachladen der neuen Root-CA erfolgt unsichtbar im Hintergrund, ohne Zutun des Anwenders. Daher könnten sich Lauscher auf diesem Weg etwa in verschlüsselte Internetverbindungen einklinken, um diese unbemerkt zu belauschen. Das berichtet die c't in einem online verfügbaren Artikel der Ausgabe 17/13, die ab Montag am Kiosk erhältlich ist.

    Das Nachladen von Stammzertifikaten erfolgt mit Hilfe des "Automatic Root Certificates Update", das Microsoft vor Jahren eingeführt hat und bei allen Windows-Versionen standardmäßig aktiviert. Da nicht nur der Internet Explorer, sondern auch Chrome und Safari auf die Krypto-Infrastruktur von Windows zurückgreifen, laden auch diese beiden Browser von Microsoft dynamisch CA-Zertifikate nach. Firefox nutzt eine eigene Infrastruktur und ist daher nicht betroffen.

    Das automatische Aktualisieren der Stammzertifizierungsstellen lässt sich über eine Gruppenrichtlinie unterbinden. Das führt aber leicht zu Problemen, denn Microsoft liefert etwa bei Windows 8 nur noch einen sehr reduzierten Satz an CA-Zertifikaten mit. Schon der Aufruf der Webseite der Telekom-CA https://www.telesec.de, der Firefox von Haus aus vertraut, führt dann zu einem Fehler in Internet Explorer, Safari und Chrome.
    Quelle

    Microsofts Hintertür – Zweifelhafte Updates gefährden SSL-Verschlüsselung
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


  6. Bedankos Struppi bedankte(n) sich für diesen Post
  7. #4
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.119
    Points
    6.805
    Level
    54
    Level completed: 28%, Points required for next Level: 145
    Overall activity: 46,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive

    AW: „SSL-Verschlüsselung ist ein großes Risiko“

    Hunderttausende Geräte im Netz nutzen alle die gleichen SSL-Keys

    Es mag ein guter Ansatz sein, wenn Hersteller von Embedded-Geräten die Netzwerkverbindung ihrer Produkte verschlüsseln. Allerdings muss die Integration von Kryptographie eben auch ordentlich umgesetzt sein. In zahlreichen Fällen fand ein Sicherheitsforscher aber haarsträubende Konstruktionen.

    Stefan Viehböck vom Beratungshaus SEC Consult hat sich die Firmware von über 4.000 Produkten aus den Händen von rund 70 Herstellern genauer angesehen. Dabei zeigte sich, dass eine große Menge von Produkten im Umlauf ist, die nicht nur alle den selben SSL-Schlüssel verwenden, sondern bei denen sich das auch nicht ändern lässt, weil dieser fest in die Geräte gebrannt wurde.

    Zu den Spitzenreitern gehört hier ein Zertifikat, das an einen gewissen Daniel ausgestellt ist, der vermutlich beim Chiphersteller Broadcom arbeitet. Dieses wurde mit einem SDK von Broadcom ausgeliefert - wahrscheinlich zu Demo-Zwecken. Verschiedene Firmen nutzten es aber gleich für die "Absicherung" ihrer SSL-Verbindungen. Bei einem Scan im Netz wurden so rund 480.000 Geräte gefunden, die dieses Zertifikat verwenden - darunter solche von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL.

    Einen ähnlichen Weg ging ein Zertifikat, das Texas Instruments mit einem SDK für ADSL2+-Router bereitstellte. Dieses fand sich auf rund 300.000 aktiv vernetzten Geräten wieder, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXEL produziert wurden.

    Verschlüsselung ist unwirksam

    Insgesamt wurden 900 verschiedene Produkte identifiziert, in denen solche fest verbauten Schlüssel zum Einsatz kommen. Deren Netzwerkverbindungen sind entsprechend unsicher. Ein Angreifer muss hier nur an den privaten Schlüssel gelangen, indem er diesen aus einem einzigen System extrahiert, und kann dann problemlos den Datenaustausch mitlesen.

    Verschärft wird das Problem dadurch, dass viele der Embedded-Geräte über aktive Verbindungen zum Internet verfügen, obwohl sie das gar nicht müssten. In den meisten Fällen dürfte es völlig ausreichen, wenn die Netzwerkverbindung aus dem lokalen Netzwerk des Anwenders direkt ansprechbar ist. Allerdings wird hier wohl häufig den Nutzern die Möglichkeit eines Remote-Managements als tolles Feature verkauft - während es aber im Wesentlichen ein zusätzliches Sicherheits-Risiko darstellt.
    winfuture.de
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


  8. Bedankos Struppi bedankte(n) sich für diesen Post

Ähnliche Themen

  1. Antworten: 0
    Letzter Beitrag: 21.02.13, 18:30

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •