Bei der diesjährigen Sicherheitskonferenz Black Hat Europe hielt Thomas Brandstetter, FH-Dozent an der FH St. Pölten und Geschäftsführer von Limes Security, einen Vortrag zum Thema SSL-Validierungsprüfungen. [...]
Die Sicherheitskonferenz Black Hat Europe, die mittlerweile seit 14 Jahren veranstaltet wird und über die aktuellsten Sicherheitsschwachstellen und -trends informiert, hat heuer den Teilnehmerrekord vom Vorjahr um 50 Prozent gebrochen, mehr als 600 Teilnehmer kamen zur Konferenz nach Amsterdam. Unter den mehr als 1.000 Sicherheitsexperten aus 68 Ländern hielt auch Thomas Brandstetter, FH-Dozent im Studiengang IT-Security der FH St. Pölten, einen Vortrag zum Thema „SSL Validation Checking vs. Go(ing) to Fail“.
„Ausgang unserer Überlegungen war die berühmte „goto-fail“ Sicherheitslücke die Apple Anfang des Jahres Probleme bereitet hat. Die Lücke war insofern problematisch als Apps mitunter nicht mehr ordentlich überprüfen konnten, ob der Server mit dem sie kommunizieren wirklich die legitime, erwartete Gegenstelle sei. Das ist insbesondere bei Apps, die private und somit vertrauliche Daten übertragen, sehr wichtig“, so Brandstetter.
In einer Firmendiplomarbeit, erstellt vom Masterstudenten Christian Stoiber, wurde eine Testmethodik sowie ein Prototyp erarbeitet mit dem sich Apps auf Fehler in der Validierungslogik der SSL-Verschlüsselung überprüfen lassen ohne den Sourcecode vorliegend haben zu müssen. Der Prototyp wurde im Unternehmen weiterentwickelt und mittlerweile wurden mehr als 90 mobile Apps aus dem Bank- und Finanzsektor getestet, da hier die Notwendigkeit für eine vertrauliche Datenübertragung verständlicherweise enorm hoch ist.
Sowohl unter den Apps von einheimischen, aber auch großen, internationalen Banken gab es Apps, welche die sicherheitskritischen SSL-Zertifikate überhaupt nicht überprüft haben. „Dies ist im Jahr 2014, wo Security kein brandneues Thema mehr ist, doch etwas befremdlich – vor allem im Banken- und Finanzsektor mit hohen Sicherheitsanforderungen“, meint Brandstetter. Ein Anwender einer solchen App würde keinerlei Hinweis bekommen, falls ein Hacker versuchen sollte sich in die Verbindung zwischen seinem Handy und dem Bankserver einzuschleusen, um die vertraulichen Finanzinformationen mitzulesen oder zu manipulieren. Betroffene nationale Banken wurden, soweit möglich, informiert und haben teilweise auch schon reagiert. „Seit unseren ersten Tests im Frühjahr mit zum Teil noch haarsträubenden Ergebnissen wurden mittlerweile viele neue, verbesserte Apps zur Verfügung gestellt. Bei einigen Apps besteht eine Reihe von Lücken jedoch nach wie vor. Es ist daher ratsam zu überprüfen, ob am Smartphone die jeweils neueste Banking-App installiert ist und sie gegebenenfalls zu aktualisieren“, so Brandstetter. (pi/mi)
Be the first to comment