Web

 

SSL-Sicherheitsloch größer als angenommen

27.08.2002

MÜNCHEN (COMPUTERWOCHE) - Eine vor zwei Wochen bekanntgewordene Schwäche in Microsofts Implementierung des Secure Socket Layer (SSL) ist möglicherweise weit gefährlicher als bisher angenommen. Microsoft hatte bisher erklärt, eine Ausnutzung der Lücke sei „schwer“ und erfordere ein „entgegenkommendes Netzwerk“.

Dass dem wohl nicht so ist, demonstrierte ein auf Anonymität bedachter Sicherheitsberater Mitarbeitern der Nachrichtenagentur Reuters. Innerhalb von Minuten brach er in die Internet-Banking-Systeme von drei schwedischen Banken ein. Nachdem er sich auf den Websites als Kunde authentifiziert hatte, verschaffte er sich unter Ausnutzung der Sicherheitslücke Zugang zu den Root-Verzeichnissen der Sites und von dort ins interne Banknetz. Der Berater hätte sich direkten Zugang zu Kundenkonten verschaffen können, verzichtete aber darauf. Stattdessen führte er vor, wie ein Eindringling die Systeme so manipulieren könnte, dass die Internet-Überweisungen von Bankkunden auf sein Anderkonto umgeleitet werden. Es wäre sogar ein Leichtes gewesen, die Spuren dieses Einbruchs zu verwischen. (ls)