SSL-basierte Malware folgt dem Trend, immer mehr Datenverkehr im Internet zu verschlüsseln. Cyberkriminelle nutzen Verschlüsselung beispielsweise, um die Erkennung ihrer Malware zu erschweren. Zum Teil setzen sie sogar auf gültige SSL-Zertifikate von Gratis-Anbietern.
Die Lücken sind auf unzureichende oder veraltete Verschlüsselungsalgorithmen oder den Einsatz ungeeigneter oder unsicherer Zertifikate zurückzuführen. Ein kostenloser Test zeigt, ob der eigene E-Mail-Provider sichere SSL-Verbindungen nutzt.
Ohne aufgespielten Patch ist ein Angreifer womöglich in der Lage, den privaten Teil eines Schlüssels auszuspionieren. Das betrifft jedoch nur Version 1.0.2. Der Patch kann aber die Leistung eines TLS-Servers negativ beeinflussen.
Das geht aus einem Bericht von Mailbox.org hervor. Schon rund 86 Prozent aller Nachrichten konnte der Berliner E-Mail-Anbieter demnach über verschlüsselte Transportwege an andere Provider weiterleiten. Allerdings seien weniger als 60 Prozent der E-Mails anderer Anbieter bei Mailbox.org über chiffrierte Verbindungen eingegangen.
Wer SSL-Zertifikate zur Webseiten- und E-Mail-Verschlüsselung benötigt, muss nicht mehr das umständliche Prozedere von Beantragung und Rückbestätigung bei Zertifizierungsstellen durchlaufen. Eine Logik des Münchner Anbieters übernimmt alle Schritte. Die beantragten Zertifikate lassen sich auch kommerziell nutzen.
Die PSW Group aus Fulda hat darauf hingewiesen, dass Kriminelle aktuell vom Content Delivery Network CloudFlare vergebene, echte Zertifikate nutzen, um gefälschte Seiten vertrauenswürdiger erscheinen zu lassen. Die Phishing-Seite sieht der von PayPal täuschend ähnlich. PSW-Chef Heutger kritisiert aus diesem Anlass auch andere Dienste, die SSL-Zertifikate ohne umfangreichen Prüfung vergeben.
Unter Umständen nutzen auch mit TLS 1.x verschlüsselte Verbindungen noch eine Funktion von SSL 3.0. Das macht sie für den bei SSL 3.0 möglichen Cookie-Diebstahl ebenfalls anfällig. Sicherheitsanbieter Qualys schätzt, dass davon rund zehn Prozent aller Websites betroffen sind.
Das für den Kauf von Zero-Day-Lücken bereitgestellte Budget soll 4,5 Millionen Euro umfassen. Die können für den Zweck bis 2020 ausgegeben werden, berichtet “Der Spiegel”. Dem Blatt zufolge will der BND Informationen über Schwachstellen auch auf dem grauen Markt beschaffen.
Die Schwachstelle wird von ihnen als “Poodle” (Padding Oracle on Downgraded Legacy Encryption) bezeichnet. Sie erlaubt es Unbefugten, ein als “sicher” geltendes HTTP-Cookie zu stehlen. War das erfolgreich, kann der Angreifer in der digitalen Welt die Identität seines Opfers annehmen. Um sich zu schützen, sollten Nutzer SSL 3.0 in ihrem Browser deaktivieren.
Um den gleichen Fehler in iOS hat sich der Hersteller schon vor einigen Tagen gekümmert. Nun behebt ihn das Update 10.9.2 auch bei OS X Mavericks. Sicherheitsexperten kritisieren die verzögerte Auslieferung des Patches für die SSL-Lücke im Desktop-Betriebssystem.
Strato bietet jetzt verschiedene SSL-Sicherheitszertifikate an und erleichtert seinen Hosting-Kunden den Umgang mit der damit zertifizierten Verschlüsselung. Die Grundlage für https-Seiten ist ohne Installationsaufwand in wenigen Minuten einsatzbereit. Eine Funktion unterbindet den unverschlüsselten Aufruf von HTML-Seiten.
Der Anbieter stellt Administratoren per Internet nun alle Codes zusammen, die für Certificate Signing Requests (CSR) für https-Server notwendig sind. Die Befehlszeilen für Exchange 2007 und 2010, für OpenSSL oder Java Keytool erzeugt der Service dann automatisch. Nur Daten wie Domänennamen und Unternehmen muss der IT-Admin selbst eintippen.
SSL-verschlüsselte Verbindungen standen jahrelang für sicheres Online-Banking und unbedenkliches Online-Shopping. Doch das am HTTPS-Link im Browser erkennbare Protokoll wird seit Edward Snowden und der NSA-Affäre verstärkt in Frage gestellt. ITespresso hat mit Verschlüsselungsexperten der Firma Steganos gesprochen und erklärt, wie sicher das fast 20 Jahre alte Verfahren noch ist.
US-Experten streiten darüber, ob diese Anfragen rechtmäßig sind. Große Firmen verweigern die Herausgabe der Schlüssel anscheinend erfolgreich. Kleinere Provider können sich dagegen nur schlecht gegen die Behörden zur Wehr setzen.
Die bisher verwendeten 1024-Bit-Schlüssel gelten inzwischen als zu unsicher. Die Umstellung beginnt am 1. August und umfasst auch das Root-Zertifikat, mit dem alle anderen Zertifikate signiert werden. Sie soll bis Ende des Jahres abgeschlossen sein.
Die offene Software für Chiffrierung in der http-Kommunikation ist ein wenig zu offen: Debian, Red Hats Fedora und IBMs Tivoli-Framework sind auf unterschiedliche Art von den Lücken betroffen.
Durch den Bug in der SSL-Implementierung sind Apps anfällig für Man-in-the-Middle-Angriffe. So lassen sich Anmeldedaten und Kreditkartendaten ausspähen. Laut Sicherheitsforschern der Leibniz-Universität Hannover und der Philipps-Universität Marburg lassen sich einer Antivirensoftware sogar gefälschte Definitionen unterschieben.
Es wurde von der vom Anbieter Qualys gegründeten Initiative “Trustworthy Internet Movement” entwickelt. Pulse prüft die korrekte Implementierung des Sicherheitsprotokolls SSL. Dafür fragt das Tool monatlich rund 200.000 Websites ab.
Die SSL-Verschlüsselung der Suchmaschine bleibt nicht auf Amerika begrenzt. Nach und nach sollen nun die diversen Länder-Domains damit beglückt werden.
Google stellt seine Suche auf verschlüsselte Verbindungen um – zumindest für eingeloggte Nutzer. Dadurch soll deren Privatspähre besser geschützt werden.
Für eine optimale Netzwerk-Konsolidierung und den Aufbau von privaten Clouds hat der Hersteller vier neue Modelle seiner bekannten Netz-Appliance aufgelegt
Als Voreinstellung für Twitter-Nutzer wird künftig eine sichere SSL-Verbindung hergestellt. Das soll die Kritiker verstummen lassen und die Sicherheit spürbar steigern.
Um es Identitätsdieben schwerer zu machen, wird jetzt der gute alte Webmail-Dienst mit ein paar Features für eine sicherere Passworteingabe ausgerüstet.
Wer das HTTPS-Protokoll etwa zum Internet-Shopping oder Online-Banking nutzt, möchte sicher sein, dass es sich auch wirklich um eine sichere verschlüsselte Verbindung handelt. Genau das will Google schon bald bewerkstelligen.
»Rache für Stuxnet« sei die Motivation hinter dem Hack des Security-Anbieters Comodo gewesen, behauptet ein einsamer iranischer Hacker.
Der Angreifer brach in eine Zertifizierungsstelle ein und holte sich Zertifikate, unter denen er als Mozilla, Microsoft, Google oder Yahoo auftreten konnte.
Das größte soziale Netzwerk will seinen Nutzern künftig die Option einräumen, im Browser den Secure Socket Layer (SSL) zuzuschalten, um eine sichere Verbindung aufzubauen.
Microsofts Webmaildienst nutzt bislang die Verschlüsselung mit HTTPS nur für die Login-Prozedur. War der Nutzer einmal drin im System, lief nach wie vor alles im Klartext über das Web. Nach Jahren hat Microsoft die Funktionalität jetzt eingefügt.
Die Google-Suche lässt sich nun auch über eine SSL-gesicherte Verbindung ansteuern, um Suchanfragen und Suchergebnisse vor Dritten zu verbergen.
SSL als »Symantec Socket Layer«? Der Sicherheitskrösus schloss eine Vereinbarung über den Kauf des Identitäts- und Authentifizierungsgeschäftes von Verisign ab.
