Gravierende Sicherheitslücke in Web-Shops
Lotterie Online-Einkauf
Hannover (ots)
Einkaufen im Internet ist trotz Beachtung aller Sicherheitsregeln derzeit mit hohem Risiko behaftet. Der Grund: Viele Online-Shops sichern vertrauliche Daten wie Kreditkartennummern mit einfach zu knackender Verschlüsselung, so das Computermagazin c't in der aktuellen Ausgabe 12/08.
"Solange keine Lösung gefunden ist, würde ich meine Bank- oder Kreditkartennummer nur noch im Internet angeben, wenn es wirklich sein muss", so c't-Redakteur Jürgen Schmidt. Die c't-Redaktion hat 4381 Server untersucht und dabei festgestellt, dass etwa jeder 30ste einen schwachen Schlüssel benutzt.
Bisher galten der Zusatz "HTTPS" in der Adresse und das zugehörige Schloss im Browser als Garanten für einen sicheren Übertragungsweg von Daten, etwa beim Bezahlen in einem Online-Shop. Doch wie sich im Mai herausstellte, haben bestimmte Linux-Systeme über zwei Jahre hinweg schwache Schlüssel erstellt, die sich einfach erraten lassen. Setzt der Shop einen solchen schwachen Schlüssel ein, können Betrüger zum Beispiel unbemerkt übertragende Kreditkarteninformationen mitlesen oder sich sogar als der Shop-Server ausgeben.
Auf HTTPS-Seiten versichern Zertifikate, die auf den Namen der Webseite ausgestellt sind, dass man auf der richtigen Seite gelandet ist und die Daten verschlüsselt übertragen werden. Wegen der schwachen Schlüssel können Betrüger die verschlüsselten Daten aber nicht nur abhören, sondern auch die Zertifikate missbrauchen, um gefälschte Webseiten aufzusetzen, vor denen der Browser nicht warnt.
Das schlimmste ist: Selbst wenn ein Shop-Betreiber reagiert und ein schwaches Zertifikat widerruft, kann er den Missbrauch nicht verhindern. Folglich können Anwender auch den scheinbar sicheren HTTPS-Seiten nicht mehr trauen. Wirksamen Schutz können nur die Browser-Hersteller bieten. Doch die haben bislang noch nicht reagiert.
Titelbild c't 13/2008 www.heise-medien.de/presseinfo/bilder/ct/08/ct132008.jpg
Pressekontakt:
Ihre Ansprechpartnerin für Rückfragen:
Anja Reupke
Presse- und Öffentlichkeitsarbeit
Telefon +49 [0] 511 5352-561
Telefax +49 [0] 511 5352-563
anja.reupke@heise-medien.de
Original-Content von: c't, übermittelt durch news aktuell