Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
November 2009
21.11.2009 SSL-Angriffe
     
zurück zum Verweis zur nächsten Überschrift Angriff auf gesicherte Verbindungen
 

 
 
Ein Angreifer muss also die Möglichkeit haben, sich in den Datenverkehr einzuklinken, indem er beispielsweise beim Provider, bei einem Carrier oder bei einem Internetaustauschknoten wie dem DE-CIX sitzt. Ein solches Szenario ist durchaus realistisch. Man vermutet, dass die großen Sammlungen von FTP-Passwörtern, die immer wieder auf einschlägigen Servern im Internet gefunden werden, von illoyalen Mitarbeitern bei Providern und Carriern stammen, die sich durch Schnüffeleien ein Nebeneinkommen verschaffen. (8)
  
 

 
Der Cyberfahnder berichtete im Februar über die Möglichkeit von Kollisionsangriffen (1) unter Missbrauch von Sicherheitszertifikaten. Die damit beschriebenen Gefahren erweitert Hochstätter jetzt mit einer Auseinandersetzung damit, wie angeblich sichere Verbindungen unterlaufen werden können (2).

Es geht ihm um die verbreitete Sicherung von direkten Verbindungen mit dem SSL-Protokoll (3), meistens in Verbindung mit Webseiten, die sich als HTTPS-Seiten ausweisen (4). Die Verschlüsselung erfolgt in einfachen Worten so, dass die korrespondierenden Geräte zunächst mit einer asymmetrischen Verschlüsselung (5) die Verbindung miteinander aufnehmen, wobei der Server (z.B. der Rechner der Bank) ein Zertifikat übermittelt (6), das der Client anhand der Listen mit vertrauenswürdigen Zertifikaten überprüft. Anschließend "vereinbaren" die Rechner eine einfachere, symmetrische Verschlüsselung (7) mit einem für beide geltenden Verschlüsselungscode.

Ein Man-in-the-Middle ist jedoch in Lage, den Datenverkehr mit dem Server abzufangen und andererseits dem Client vorzugaukeln, er sei mit dem Server verbunden.

Das gehe aber nur, so Hochstätter, wenn der Angreifer Zugriff auf einen Zugangsprovider oder einen Netzknoten nehmen könne (siehe links).

Damit gerät die Sicherheit der Netzknoten immer mehr in den Vordergrund. Sie sind aus der Sicht der Angreifer ideal dazu geeignet, Datenströme und Datensammlungen abzugreifen und zu manipulieren.
 

 
Spekulationen

Das kann ich mir auch im Zusammenhang mit dem bargeldlosen Zahlungsverkehr vorstellen.

Die Kopfstellen für das PoS-Verfahren (9) leiten die Daten nicht nur durch, sondern verarbeiten sie auch, indem sie Berechtigungsprüfungen unternehmen und Zeitstempel einfügen.

Wenn es dem Hacker gelingt, diese Datenverarbeitung zu manipulieren, könnte er zum Beispiel den Gebührenanteil bei der einzelnen Transaktion leicht und damit unauffällig erhöhen, um die Differenz für sich abzuzweigen. Dazu müsste er allerdings sowohl die Autorisierung wie auch das abschließende Clearing manipulieren (10). Der dazu erforderliche Angriff ist sehr anspruchsvoll und schwierig, als Hypothese jedoch nicht ausgeschlossen.

Auf dieselbe Weise könnte der Angreifer auch vorgaukeln, er sei eine Zahlstelle, also ein Geldautomat oder ein POS-Terminal.

Einfache wäre es für ihn jedoch, den Datenstrom abzugreifen, um die Kartendaten und PIN auszuforschen, die dabei übermittelt werden (wobei die PIN nicht direkt übermittelt werden dürften). Das geht natürlich noch einfacher, wenn er einen direkten Zugriff auf die Zahlstelle nimmt (11).

Wie gesagt, das sind alles nur Spekulationen (12).

 

zurück zum Verweis Anmerkungen
 

 
(1) Kollisionsangriff gegen Webseitenzertifikat

(2) Christoph H. Hochstätter, Gefahr beim Homebanking: So arbeitet die neue SSL-Attacke, ZDNet.de 18.11.2009

(3) Transport Layer Security

(4) Hypertext Transfer Protocol Secure

(5) Asymmetrisches Kryptosystem

(6) Digitales Zertifikat

(7) Symmetrisches Kryptosystem

(8) (2), S. 2
 

 
(9)  Autorisierung im POS-Verfahren

(10) Autorisierung und Clearing

(11) Skimming an der Quelle

(12) siehe auch Datenklau in Spanien und Skimming-Coup
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 22.11.2009