Black Hat: SSL ausgetrickst, Login-Daten geklaut

Moxie Marlinspike macht sich für seinen SSL-Angriff (PDF) zunutze, dass die meisten Anwender nicht direkt auf eine via SSL gesicherte Seite gehen. Sie rufen in der Regel die normale Seite ohne vorangestelltes https:// auf und klicken dann auf einen Login-Button zur Anmeldung, der eine gesicherte Verbindung aufbaut. Dann ist es aber schon zu spät, denn der Angreifer hat sich bereits in die Verbindung eingeklinkt – Marlinspike hat dafür das Tool sslstrip entwickelt. Es kommuniziert mit dem Anwender über eine ungesicherte Verbindung und präsentiert ihm die aufgerufene Website, greift aber alle an den Server geschickten Daten ab. Gegenüber dem Server gibt sich das Tool als Anwender aus und nutzt korrekterweise die SSL-Verbindung. So kann es alle Benutzereingaben an den Server weiterreichen und mitspeichern, ohne dass der Anwender Meldungen über ungültige Zertifikate zu Gesicht bekommt.

Im Prinzip ist der Schwindel für den Anwender leicht zu bemerken, weil in der Adresszeile das https:// fehlt. Marlinspike zufolge lassen sich die meisten User jedoch ganz leicht austricksen, indem man als Favicon einfach ein Schlosssymbol einblendet, um eine verschlüsselte Verbindung vorzutäuschen.
Laut unseren Kollegen von The Inquirer gelant es Marlinspike bei einer Demonstration des Angriffs innerhalb von 24 Stunden sechs Kreditkartennummern, sieben PayPal-Accounts, 117 E-Mail-Logins und 300 weitere Logins auszuspähen. (Daniel Dubsky)