SSL-Zertifikat für Browser-Betrug im Internet aufgetaucht

30. September 2009, 15:50

Mit dem Zertifikat können beispielsweise Phisher ihre eigenen Server als Bank-Server ausgeben

Nachdem Sicherheitsexperte Moxie Marlinspike auf der Back Hat-Konferenz im Juli eine Methode demonstriert hat, wie man Browser mit einem eigenen, speziell benannten SSL-Zertifikat austricksen kann, wurde nun auf einer Hacker-Mailingsliste ein entsprechendes Zertifikat mit privatem Schlüssel veröffentlicht. Das Zertifikat kann theoretisch für jede Domain ausgeliefert werden ohne, dass es der Nutzer merkt.

Phishing

Laut heise hat Sicherheitsspezialist Jacob Appelbaum das Trick-Zertifikat über die Noisebridge-Mailingliste veröffentlicht. Ausgenutzt werden könnte das SSL-Zertifikat beispielsweise von Phishern, indem sie damit eigene Server als Bankserver ausweisen.

Browser bereits aktualisiert

Der Angriff funktioniert allerdings nicht bei allen Browsern, zumal aktuelle Browser in den vergangenen Wochen mit Updates dagegen geschützt wurden. Laut heise seien auch schon andere Produkte und Frameworks, die SSL-Zertifikate verwenden, aktualisiert worden. Deshalb sei es nach Ansicht von Appelbaum auch nicht verwerflich, dass er nun das Fake-Zertifikat samt Schlüssel veröffentlicht hat. (red)

 

Share if you care
1 Posting
Black Hat

heißt die Konferenz, glaub ich

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.