Sicherheitslücke: Jeder kann sich als Bank ausgeben Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


30.10.2009 Rudolf Felser

Sicherheitslücke: Jeder kann sich als Bank ausgeben

Betrügereien mit scheinbar sicheren SSL-zertifizierten Websites sind laut Experten möglich.

Wann ist eine Website wirklich sicher? Eine mit Secure Socket Layer (SSL) verschlüsselte Internetseite, wie sie etwa Webshops oder Banken verwenden, scheint sicher – davon sind zumindest die meisten User überzeugt. Da die Inhalte verschlüsselt werden, könne ja gar nichts passieren. "Aber das kann leider ein Trugschluss sein", warnt René Pfeiffer von der internationalen Sicherheitskonferenz DeepSec, die vom 17. bis 20. November in Wien zum dritten Mal internationale Experten aus den Bereichen Network-Security und Hacking versammelt. Moxie Marlinspike vom Institute For Disruptive Studies und Experte für Verschlüsselungssysteme wird dabei gefährliche Lücken in der Verschlüsselung mit SSL und HTTPS vorstellen, die es einem Hacker möglich machen, sich als jede beliebige andere Website auszugeben. "In den falschen Händen öffnet das Betrügern Tür und Tor", warnt Pfeiffer.

"Durch einen von Moxie Marlinspike entdeckten Fehler in der Art, wie diese Zertifikate vergeben werden, kann man ein Zertifikat für eine Website bekommen, die einem gar nicht gehört, etwa Ebay, Paypal oder eine Bank", erklärt Pfeiffer. Das bedeutet, man kann sich gegenüber einem Kunden, der mit etwa seinem Bank-Account Geld versenden will, als diese Bank ausgeben und an seine Zugangsdaten kommen. "Das kann natürlich zu massivem Missbrauch führen", warnt Pfeiffer. Mit einer sogenannten SSLSniff-Methode kann darüber hinaus verschlüsselter Datenverkehr im Netz "abgehört" werden, was zur Preisgabe von Passwörtern, Kreditkartendaten oder Bankzugangsdaten führen kann, ohne dass der User etwas davon bemerkt. Der Fehler ist so gravierend, dass Microsoft sich zu einem Patch genötigt sah, der dieser Tage ausgeliefert wurde.

In einem zweitägigen Workshop zum Thema "Designing Secure Protocols And Intercepting Secure Communication" von 17. bis 18. November auf der DeepSec wird Moxie Marlinspike die Architektur von Verschlüsselungssystemen im Detail analysieren und auch Wege aufzeigen, wie solche Attacken vermieden werden können. Sicherheitssysteme müssen im Detail durchgeplant sein, sonst wähnt man sich in Sicherheit, obwohl dem nicht so ist. "Diese Informationen sind nicht zuletzt etwa für Banken und Versicherungen essentiell, immerhin vertrauen die Kunden diesen Organisationen mitunter beträchtliche Teile ihres Vermögens an", sagt Pfeiffer. Sicherheitslücken im Online-Banking seien geeignet, das Vertrauen in Internet-Banking schwer zu schädigen.

Die DeepSec will als neutrale Plattform die Hacker-Community, IT-/Security-Unternehmen, Behördenvertreter sowie Forscher zum Gedanken- und Erfahrungsaustausch in Vorträgen und Workshops in Wien zusammenbringen. Die Konferenz, die heuer unter dem Generalthema Spionage und ihre Abwehr steht, will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind. "Vielen geht es eher darum, Sicherheitslücken aufzuzeigen und bekannt zu machen. Erst dann können sie geschlossen werden", so Pfeiffer. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: