Tests zur Verwendung verschlüsselter Kanäle für die Übermittlung von Kennwörtern und sensiblen Daten.

Alle vertraulichen Daten wie Passwörter, Logins oder Kreditkartennummern sollten über einen verschlüsselten Kanal zwischen dem Kunden und dem Server übertragen werden. Dadurch wird der Benutzer vor einem"Man in the midle"-Angriffgeschützt, bei dem der Angreifer in die Kommunikation zwischen dem Benutzer und dem Netzwerk, das er derzeit nutzt, eingesteckt wird. Er hat Zugang zu allen Informationen, die das Opfer übermittelt, und ist daher in der Lage, diese im Falle unverschlüsselter Daten abzufangen, zu ändern oder zu zerstören. Daher ist eine angemessene Sicherheit erforderlich, um die übertragenen Daten zu schützen. Welche Art von Schutz anzuwenden ist, sollte der Informationsverwalter selbst entscheiden. Dabei kann es sich um ein SSL/TLS-Datenverschlüsselungsprotokoll sowie um ein anderes kryptografisches Schutzmittel wie die Verschlüsselung mit E-Mail und dem öffentlichen Schlüssel des Empfängers handelt. Das bildschwachste Bild zeigt eine Ansicht des erfassten unverschlüsselten Pakets, das Authentifizierungsdaten für das Abhörprogramm für den Netzwerkverkehr enthält. Abgefangenes unverschlüsseltes Paket mit Authentifizierungsdaten

Abbildung. Ein abgefangenes unverschlüsseltes Paket mit Authentifizierungsdaten. Quelle: [Eigene Entwicklung]

In einer der getesteten Anwendungen erfolgte die Kommunikation mit dem Server über http, das nicht verschlüsselt ist. Alle Daten, die über einen solchen Kanal übertragen werden, können während der Übertragung erfasst und geändert werden. In der folgenden Grafik wird die Meldung "Keine Verschlüsselung aus Firefox "angezeigt. Ansicht der Meldung ,keine Verschlüsselung aus Firefox

Abbildung. Eine Ansicht der Meldung, dass keine Verschlüsselung aus Firefox vorhanden ist. Quelle: [Eigene Entwicklung]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert