21.05.2015
Tausende Webseiten betroffen
Logjam-Attacke umgeht TLS-Verschlüsselung
Autor: Stefan Bordel
Shutterstock - gst
Ein Fehler im TLS-Verfahren ermöglicht Angreifern, vermeintlich sichere Verbindungen zu umgehen. Tausende Webseiten sollen davon betroffen sein. Die großen Browser-Hersteller arbeiten bereits an Updates.
Verschlüsselung über Cryptowar-Altlasten umgangen: Sicherheitsforscher von Microsoft Research und verschiedenen Universitäten haben eine kritische Sicherheitslücke im TLS-Verfahren entdeckt. Über eine sogenannte Logjam-Attacke soll es Angreifern möglich sein, den Datenverkehr sicherer TLS-Verbindungen auf einfache 512-Bit-Schlüssel herabzustufen. Letztere sind relativ einfach zu entschlüsseln. Tausende Webseiten seien von Logjam betroffen, darunter zahllose Web-, Mail-, SSH- und VPN-Server.
Logjam bedient sich dabei einem Überbleibsel aus den Cryptowars der 90er Jahre. Damals hatte die US-Regierung den Export von allzu sicheren Technologien eingeschränkt. Aus Kompatibilitätsgründen unterstützen auch heute noch viele Server den unsicheren Schlüsselaustausch via Diffie-Hellman-512-Bit. Auf genau dieses Verfahren können Angreifer den Schlüsselaustausch über Logjam herabstufen und somit die Verschlüsselung umgehen. Eine ähnliche Schwachstelle nütze bereits die Freak-Lücke.
Wie kann ich mich vor Logjam schützen ?
Aktuell arbeiten die großen Browser-Hersteller bereits an Sicherheitsupdates, die das Problem beheben sollen. In unserem Test waren sowohl Google Chrome als auch Mozilla Firefox und Opera von dem Fehler betroffen. Der Internet Explorer wurde hingegen schon gepatcht. Wer auf eine besonders sichere Verbindung angewiesen ist, sollte daher zumindest so lange auf den Microsoft-Browser umsteigen, bis die Updates der übrigen Hersteller ausgerollt wurden. Über die Test-Webseite können Sie Ihren Browser auf Anfälligkeit prüfen.
Webseiten-Betreiber finden auf der Seite der Sicherheitsforscher eine detaillierte Anleitung zur Einrichtung einer sicheren Verschlüsselung auf ihren Servern.
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>