31.12.2008, 08:43 Uhr
Forscher hebeln Webseiten-Security aus
Mit Hilfe der Rechenkraft von 200 Playstations von Sony ist es IT-Security-Forschern gelungen, die Algorithmen zu umgehen, mit denen Webseiten abgesichert werden. Damit wird es möglich Phishing-Attacken zu reiten, die nicht entdeckt werden können.
Sicher geglaubte Webseiten lassen sich fälschen.
Bei ihrer Attacke haben die Forscher, darunter auch Computerwissenschaftler der ETH Lausanne, einen Fehler im Hash-Algorithmus MD5 ausgenutzt. Dieser wird verwendet, um digitale Zertifikate für Webseiten zu erstellen. Sie werden wiederum dafür gebraucht, eine Web-Site eindeutig zu identifizieren und gefälschte Seiten zu entlarven.
Jetzt konnten die Wissenschaftler aber in die Zertifizierungsstelle RapidSSL.com von Verisign einbrechen und gefälschte Zertifikate für beliebig viele Webseiten erstellen. Mit Hilfe einer Batterie von 200 Playstaion 3 errichteten sie anschliessend eine "Schurken-Zertifizierungsstelle", die getürkte Zertifikate ausgibt, die von jedem Browser als echt interpretiert werden. Mit dieser digitalen Tarnkappe könnte somit die "perfekte" Phishing-Attacke geritten werden.
Die Ergebnisse des Hacks dürften weitreichenden Folgen für die Internetsicherheit haben. Sie sollen am Chaos Communication Congress in Berlin präsentiert werden.
Zwar gehen die Experten davon aus, dass eine solche Attacke derzeit unwahrscheinlich ist. Dennoch sollte künftig auf den MD5-Algorithmus verzichtet werden. "Das ist ein Weckruf für jede Zertifizierungstelle, die immer noch MD5 benutzt", meint David Molnar, Doktorant an der University of California in Berkeley und Mitglied des Forscherteams. Neben RapidSSL.com basieren die Zertifikate von TC Trustcenter AG, RSA Data Security, Thawte und des japanischen Verisign-Ablegers auf MD5.
