DeepSec zeigt auf Sicherheitslücke: Jeder kann sich als Bank ausgeben

Wann ist eine Website wirklich sicher? Eine mit Secure Socket Layer (SSL) verschlüsselte Internetseite, wie sie etwa Webshops oder Banken verwenden, ist sicher, davon sind die meisten User überzeugt. Die Logik dahinter: Da die Inhalte verschlüsselt werden, kann ja gar nichts passieren. "Aber das kann leider ein Trugschluss sein", warnt René Pfeiffer von der internationalen Sicherheitskonferenz DeepSec (https://deepsec.net/), die vom 17. bis 20. November in Wien zum dritten Mal die Weltelite aus den Bereichen Network-Security und Hacking versammelt. Moxie Marlinspike vom Institute For Disruptive Studies und Experte für Verschlüsselungssysteme wird dabei gefährliche Lücken in der Verschlüsselung mit SSL und HTTPS vorstellen, die es einem Hacker möglich machen, sich als jede beliebige andere Website auszugeben. "In den falschen Händen öffnet das Betrügern Tür und Tor", warnt Pfeiffer.

"Durch einen von Moxie Marlinspike entdeckten Fehler in der Art, wie diese Zertifikate vergeben werden, kann man ein Zertifikat für eine Website bekommen, die einem gar nicht gehört, etwa Ebay, Paypal oder eine Bank", erklärt Pfeiffer. Das bedeutet, man kann sich gegenüber einem Kunden, der mit etwa seinem Bank-Account Geld versenden will, als diese Bank ausgeben und an seine Zugangsdaten kommen. "Das kann natürlich zu massivem Missbrauch führen", warnt Pfeiffer. Mit einer sogenannten SSLSniff-Methode kann darüber hinaus verschlüsselter Datenverkehr im Netz "abgehört" werden, was zur Preisgabe von Passwörtern, Kreditkartendaten oder Bankzugangsdaten führen kann, ohne dass der User etwas davon bemerkt. Der Fehler ist so gravierend, dass Microsoft sich zu einem Patch genötigt sah, der dieser Tage ausgeliefert wurde.

In einem zweitägigen Workshop zum Thema "Designing Secure Protocols And Intercepting Secure Communication" von 17. bis 18. November auf der DeepSec wird Moxie Marlinspike die Architektur von Verschlüsselungssystemen im Detail analysieren und auch Wege aufzeigen, wie solche Attacken vermieden werden können. Sicherheitssysteme müssen im Detail durchgeplant sein, sonst wähnt man sich in Sicherheit, obwohl dem nicht so ist. "Diese Informationen sind nicht zuletzt etwa für Banken und Versicherungen essentiell, immerhin vertrauen die Kunden diesen Organisationen mitunter beträchtliche Teile ihres Vermögens an", sagt Pfeiffer. Sicherheitslücken im Online-Banking seien geeignet, das Vertrauen in Internet-Banking schwer zu schädigen.

Die DeepSec bringt als neutrale Plattform die Hacker-Community, IT-/Security-Unternehmen, Behördenvertreter sowie Forscher zum Gedanken- und Erfahrungsaustausch in Vorträgen und Workshops in Wien zusammen. Die Konferenz, die heuer unter dem Generalthema Spionage und ihre Abwehr steht, will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind. "Vielen geht es eher darum, Sicherheitslücken aufzuzeigen und bekannt zu machen. Erst dann können sie geschlossen werden", so Pfeiffer.

Das volle Programm mit einer Zusammenfassung der Beiträge: https://deepsec.net/schedule

Anmeldung zur DeepSec Konferenz findet sich unter: https://deepsec.net/register/

Am ersten Konfrenztag, dem 19. November 2009, findet um 10:00 eine Pressekonferenz zum Thema sichere Kommunikation über moderne Technologien für heutige Unternehmen statt. (Ende)