Black Hat: So wird das SSL-System manipuliert

Allgemein

Wie gewohnt gibt es schlechte Nachrichten von der Sicherheitskonferenz Black Hat. Gestern führten Hacker vor, wie man das Protokoll Secure Sockets Layer (SSL) austricksen kann.

Ob Online-Banking oder Bezahlprozesse, auf das SSL-System verlässt sich die große Mehrheit der Nutzer und Betreiber. Neue Techniken, um SSL in der Praxis zu umgehen, stellte ein Konferenzredner – Künstlername Moxie Marlinspike – dem Fachpublikum vor. Seine Software basiert auf der bekannten  ‘man in the middle’-Vorgehensweise: HTTPS-Traffic wird identifiziert, dann platziert sich die Malware zwischen hereinkommenden Daten und dem Nutzer – angeblich unbemerkbar, da der Screen aussehe wie immer. Inklusive Schlosssymbol.
In einer 24-Stunden-Demonstration gelang es ihm, 16 Kreditkartennummern, 7 PayPal-Accounts, 117 E-Mail-Logins und 300 weitere Logins auszuspähen. “Da draußen in der Welt gibt es mittlerweile eine ganze Ökonomie, die von solchen Attacken lebt”, warnt Marlinspike im Video-Interview.
Um den Profis die Chance zu geben, die SSL-Sicherheit zu stärken, wolle er den Code seiner Malware nun offen legen. (rm)

BlackHat-Konferenz

BlackHat-Präsentation (PDF)

Marlinspike Video-Interview