TLS des tages

Ich sage dazu mal nichts weiter…

Freak Attack:
SSL-Verschlüsselung von Millionen Webseiten angreifbar

…außer mein übliches „TLS ist eh schon lange kaputt“.

Auch weiterhin wünsche ich allen nach ihrer täglichen lektüre von spezjalexperten mit jornalismus- und polizeihintergrund ganz viel spaß dabei, sich irgendwie „sicherer“ zu fühlen, nur weil der brauser ein schlösschen in der adresszeile anzeigt.

Weshalb man sein betrübssystem immer selbst aufsetzt…

Diverse aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Das Programm manipuliert den Aufruf von Webseiten und fügt Werbung für Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das alleine wäre schon kritikwürdig, doch offenbar liefert die Software auch eine gefährliche Sicherheitslücke mit, die die Sicherheit von HTTPS-Verbindungen komplett aushebelt: ein in den Browsern voreingestelltes Root-Zertifikat

[…]

Wie der Chrome-Entwickler Chris Palmer auf Twitter mitteilte, ist das Root-Zertifikat auf verschiedenen betroffenen Systemen identisch. Der passende private Schlüssel ist Teil der Superfish-Software selbst. Wer diesen Schlüssel besitzt, hat also ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseitenzertifikate ausstellen kann, die von allen betroffenen Lenovo-Laptops ohne Warnung direkt akzeptiert werden

Weil man keine reklamepest-softwäjhr mit zusätzlichen sicherheitslücken (und wegen der anpassung an die geladenen bilder: überwachungsfunkzjonen) haben will. Darum nimmt man nicht, was einem irgendwelche arschlöcher von beglückern wie „lenovo“ auf den klapprechner spielen, weil sie ihre kunden verachten und ihnen irgendeine crapware mit schweren sicherheitsproblemen unterjubeln. Möge sie der insolvenzverwalter holen!

Aber hej, wenn ihr wollt, dass eine schadsoftware, die dieses kleine, von „lenovo“ geschaffene scheunentor ausnutzt, eure onlein-fernkontoführung oder eure geschäftchen aller art mitlesen und beliebig manipulieren kann, dann nehmt halt, was euch ab werk auf die platte gekackt wurde!

Nachtrag: komodia

TLS des tages

Bei heise onlein haben sie jetzt entdeckt, dass kriminelle inzwischen auch HTTPS können und dass das im brauser dargestellte schlösschen — neben der tatsache, dass die daten verschlüsselt zu phishern und anderem geschmeiß gehen — nichts über die sicherheit sagt.

Nun, ich habe die erste kriminelle webseit mit kryptografischem zertifikat und schlösschen in der adresszeile vor gut neun monaten gesehen. Meine überraschung könnte gar nicht kleiner sein…

TLS des tages

Eine Google-Mitarbeiterin hat den In-Flight-Internetdienst Gogo dabei erwischt, wie er ihr ein gefälschtes SSL-Zertifikat untergeschoben hat

Auch weiterhin viel spaß bei der gefühlten sicherheit, wenn ein kleines schlösschen neben der adresszeile des brausers „sicherheit“ verspricht¹! So lange irgendwelche klitschen standardmäßig im brauser als CA eingetragen sind (meist, weil sie dafür bezahlt haben) und jede dieser klitschen (und etliche staatliche organisazjonen dazu) ohne sichtbare warnung für jede seite kryptografische zertifikate ausstellen kann, so lange ist das mitschneiden und manipulieren des internetverkehrs kein problem.

Und hej, der träffick soll ein problem sein? Ich habe schon selfies aus einer erdumlaufbahn gesehen… auch weiterhin viel spaß dabei, den internetz-proweidern zu vertrauen, wenn sie etwas in die mikrofone rülpsen, nachdem sie bei irgendeiner sauerei ertappt wurden!

Schneller Nachtrag, 18:52 Uhr: Was bei heise onlein nicht klar wird, sagen uns die kommentatoren bei golem. Das zertifikat war nicht von einer CA signiert, sondern einfach von „gogo“ erstellt. Jeder brauser dieser welt sollte da einen deutlichen alarm geben. (Danke, Koffeingeladen, für den hinweis!)

¹Faustregel: immer, wenn kryptografie einfach in der anwendung ist, taugt sie nichts!