Entwickler des BEAST-Angriffs auf SSL legen nach
In rund zwei Wochen wollen sie mit CRIME einen neuen Angriff auf TLS/SSL vorstellen, durch den man verschlüsselt übertragene Cookies aus fremden HTTPS-Sitzungen stehlen kann.
- Ronald Eikenberg
Die Sicherheitsforscher Juliano Rizzo und Thai Duong greifen ein Jahr nach BEAST erneut SSL/TLS-verschlüsselte Verbindungen an, wie ThreatPost berichtet. In rund zwei Wochen wollen sie auf der ekoparty mit CRIME erneut einen Angriff vorstellen, durch den man Cookies aus fremden HTTPS-Verbindungen klauen kann.
Der Angriff basiert auf einer Schwachstelle in einem speziellen TLS-Feature, das mit TLS 1.0 eingeführt wurde. Welches das genau ist, wollten die Forscher noch nicht verraten. Angreifbar sind angebliche alle Versionen von TLS/SSL – also auch TLS 1.2, das für die BEAST-Attacke nicht anfällig ist.
Die Forscher haben die Position des Man-in-the-Middle inne und schleusen effektiv JavaScript-Code in den Browsers des Überwachten ein. Welche Ciphersuite zum Einsatz kommt, soll keine Rolle spielen. Nach Angaben der Forscher funktioniert der Angriff zumindest mit Firefox und Chrome, die Browserhersteller sollen bereits entstsprechende Patches vorbereitet haben. Zu den anderen Browsern machten sie gegenüber ThreatPost keine Angaben.
Herkömmliche Angriffe auf SSL-Verbindungen laufen nahezu immer als SSL-Man-in-the-Middle, bei denen der Angreifer seinem Opfer gefälschte Zertifikate unterjubelt und somit die verschlüsselte Ende-zu-Ende-Verbindung aufbricht. Nicht so BEAST: bei diesem Angriff gelang es dem Angreifer durch spezielle Tricks, tatsächlich die Verschlüsselung zu knacken und etwa PayPal-Cookies in unter zehn Minuten zu entschlüsseln. CRIME soll anscheinend in diese Fußstapfen treten. (rei)
