NetVision-Technik

Zur?ck   NetVision-Technik > Forum > NetVision-Technik > Off-Topic

Off-Topic Hier ist die allgemeine Plauder-Ecke. Alles, was sonst nirgends reinpasst kommt hier rein

Antwort
 
Themen-Optionen Ansicht
Alt 27.10.2011, 12:16   #1
Sponge
Erfahrener Benutzer
Punkte: 23.729, Level: 94 Punkte: 23.729, Level: 94 Punkte: 23.729, Level: 94
Levelaufstieg: 38% Levelaufstieg: 38% Levelaufstieg: 38%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Angel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Helfer Benutzer besitzt 1x Ideen-Spender
 
Benutzerbild von Sponge
 
Registriert seit: 18.10.2009
Beitr?ge: 267
Abgegebene Danke: 46
Erhielt 40 Danke für 9 Beiträge
Downloads: 3
Uploads: 0
Nachrichten: 517
Renommee-Modifikator:
977 Sponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes Ansehen
Standard [News]Neues Denial-of-Service-Tool legt verschlüss

Neues Denial-of-Service-Tool legt verschlüsselnde Server lahm



Zitat:
"The Hacker's Choice" hat ein Tool veröffentlicht, mit dem bereits ein einziger Rechner einen Server mit Verschlüsselung in die Knie zwingen kann. Das Konzept beruht darauf, Neuaushandlungen der verwendeten Schlüssel zu erzwingen.
Das Ver- und Entschlüsseln der Nutzdaten etwa für einen https-Server ist eigentlich nicht sonderlich aufwändig. Was bei https-Verbindungen wirklich Ressourcen kostet, ist der SSL-Verbindungsaufbau, bei dem Schlüssel ausgehandelt werden. Das liegt unter anderem daran, dass die Daten-Verschlüsselung mit sehr effizient arbeitenden, symmetrischen Verfahren wie AES stattfindet. Für das Aushandeln der AES-Sitzungs-Schlüssel muss SSL aber auf die ressourcen-intensiven asymmetrischen Verfahren wie RSA zurückgreifen. Das liegt neben den konkreten mathematischen Verfahren auch an den notwendigen Schlüssellängen. Da kommt AES mit 128 beziehungsweise 256 Bit aus; RSA benötigt 1024 oder sogar 2048 Bit lange Schlüssel.
Das nutzt das jetzt veröffentlichte SSL-DoS-Tool, um auch mit geringer Bandbreite enorme Last auf einem https-Server zu erzeugen. Es fordert nach dem Verbindungsaufbau immer wieder Neuaushandlungen der Schlüssel an; dabei erzeugt es bis zu 1000 parallele Verbindungen. Laut THC kann damit bereits ein normaler Laptop über eine DSL-Verbindung einen "durchschnittlichen Server" lahmlegen. Besonders bedenklich ist, dass sich das nicht auf Web-Server beschränkt, sondern man damit auch etwa E-Mail-Server angreifen könnte, die verschlüsselte SSL-Verbindungen anbieten.
Als Workaround kann man in der SSL-Konfiguration die Key Renegotiation abschalten. Diese Funktion wird ohnehin von den wenigsten Clients genutzt. Und ohne sie verweigert das THC-Tool den Dienst. Allerdings schafft dies das eigentliche Problem nicht aus der Welt. Das Programm ließe sich leicht erweitern. Tatsächlich ist das offenbar bereits passiert. Im Quelltext findet sich ein Hinweis auf eine private Version mit erweitertem Funktionsumfang. Die soll dann auch in der Lage sein, mit etwa 20 PCs ganze Server-Farmen mit SSL-Load-Balancer lahmzulegen.
Grund für die Veröffentlichung war offenbar, dass das Tool der Hackergruppe bereits vor einigen Monaten entfleucht war. In einem recht aufgeblasenen Text zur Veröffentlichung schwadronieren THC-Mitglieder darüber hinaus von Bürgrerrechten, Redefreiheit und der nicht zufriedenstellenden Sicherheit von SSL im Allgemeinen, ohne dass wirklich klar wird, wo der Zusammenhang mit der Veröffentlichung eines solchen Tools liegen soll.
Fakt ist allerdings, dass THC den Finger in eine eigentlich schon lange offene Wunde legt und so der Diskussion um die Zukunft der Verschlüsselung auf Basis von SSL neue Nahrung gibt. SSL war in den letzten Monaten vor allem durch gefälschte Zertifikate und Einbrüche bei Zertifikatsherausgebern ins Gespräch gekommen, die das Vertrauen in das hierarchisch aufgebaute Vertrauensmodell untergruben. Dass auch das technische Fundament keineswegs solide ist, zeigten letzten Monat erfolgreiche Angriffe auf die Verschlüsselung selbst und nun dieses DoS-Tool, das die Zuverlässigkeit aller SSL-Dienste in Frage stellt.
Die akut betroffenen Admins werden das jedoch nur sehr eingeschränkt zu schätzen wissen. Denn die im Tool eingebauten Kindersicherungen können kaum verhindern, dass das Problem jetzt in großen Stil ausgetestet wird. Wer es herunterlädt und startet, sollte sich allerdings bewusst machen, dass der Einsatz gegen fremde Systeme durchaus strafbar sein kann und sich in aller Regel auch zurückverfolgen lässt
Quelle: heise
__________________



Ge?ndert von Lex (27.10.2011 um 12:53 Uhr)
Sponge ist offline   Mit Zitat antworten Nach oben
Folgende 3 Benutzer sagen Danke zu Sponge für den nützlichen Beitrag:
gotthummer (27.10.2011), phenom (27.10.2011), Thunder™ (27.10.2011)
Alt 27.10.2011, 14:00   #2
gotthummer
Master Coder
 
Benutzerbild von gotthummer
 
Registriert seit: 10.03.2008
Ort: Zuhause
Beitr?ge: 8.037
Abgegebene Danke: 1.199
Erhielt 2.928 Danke für 266 Beiträge
Downloads: 28
Uploads: 9
Nachrichten: 357
Renommee-Modifikator:
10 gotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehen
Standard

Tracker auf https laufen lassen bringt meiner meinung nach eh nix, sowas lohnt nur bei sachen wo es um bezahlungen usw geht
__________________
Code:
require_once('include/gehirn.php'); 

session_start(); 

if(empty($action)) 
{   
  echo "<td class="tablea">Kopf anstrengen und Nachdenken</td>"; 
}
else
{   
  echo "<td class="tablea">Kopf zuviel angestrenkt nun Qualmt er ;)</td>";
}





gotthummer ist offline   Mit Zitat antworten Nach oben
Alt 27.10.2011, 15:08   #3
Lex
Böser Mod / NvT Terrorist
Punkte: 58.497, Level: 100 Punkte: 58.497, Level: 100 Punkte: 58.497, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 33,3% Aktivität: 33,3% Aktivität: 33,3%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Helfer Benutzer besitzt 1x Ideen-Spender
 
Benutzerbild von Lex
 
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.470
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0
Nachrichten: 10609
Renommee-Modifikator:
4016 Lex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes Ansehen
Standard

Ne warum auch SSL nutzen, völlig unsinnig, das gibts ja auch nur aus Langeweile. Wird schon keiner auf die Idee kommen sich zwischen Client und Tracker zu klemmen um evtl wichtige Daten mitzulogen um dann evtl gegen den User / Betreiber rechtliche Schritte einleiten zu können...

Lg Lex
__________________
Lex the NetVision Terrorist
june: Feinfühlig? Ich bin Typus Axt im Walde
Lex: Axt? Was bin dann ich? Sägewerk?
Cerberus
: nee --du bist Waldbrand ...
Lex ist offline   Mit Zitat antworten Nach oben
Alt 27.10.2011, 19:21   #4
Stifler
König
Punkte: 39.887, Level: 100 Punkte: 39.887, Level: 100 Punkte: 39.887, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von Stifler
 
Registriert seit: 14.02.2011
Ort: Graz
Alter: 39
Beitr?ge: 1.495
Abgegebene Danke: 82
Erhielt 200 Danke für 37 Beiträge
Downloads: 11
Uploads: 0
Nachrichten: 6230
Renommee-Modifikator:
3168 Stifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes Ansehen
Standard

Für mich ist SSL einfach nur lästig beim Surfen weil viele Browser das nicht so umsetzen wie ich möchte!
Wird aber auch seine Gründe haben!
__________________
Stifler ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:12 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS