Internet Sicherheitsstandard TLS ausgehebelt
Bei einem Drittel aller Server lassen sich der Sicherheitsstandard TLS und die verschlüsselte Datenübertragung aushebeln. Betroffen sind alle Formen der Kommunikation im Internet, bei denen sensible Daten im Spiel sind.
Ein internationales Forscherteam, an dem auch Wissenschaftler des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum beteiligt sind, setzte bei seinem kryptografischen Angriff auf einen alten Bekannten: SSLv2 ist die als unsicher geltende Vorgängerversion des aktuellen Sicherheitsprotokolls TLS.
„SSLv2 schlummert weiterhin auf vielen Servern, auch wenn längst TLS angewendet wird“, sagt Juraj Somorovsky vom Bochumer Horst-Görtz-Institut. Die alte Version sei häufig ersetzt, nicht aber endgültig gelöscht worden. Ein fataler Fehler, wie sich jetzt zeigt: Über dieses Einfallstor lassen sich die TLS-Sicherheitsmechanismen umgehen und damit sind Benutzernamen, Passwörter, Kreditkartenummern oder Finanzdaten schutzlos preisgegeben.
Angriff zum Sparpreis
Die Forscher scannten das gesamte https-Netz und stellten fest, dass von ihrem Angriff rund 33 Prozent aller Server weltweit, also etwa 11,5 Millionen Stück, betroffen sind. Lediglich 440 US-Dollar sind für einen Angriff nötig. Damit konnten die Wissenschaftler Grafikkarten mit schneller Rechenleistung für ihre Probeangriffe in einer Amazon-Cloud mieten.
„Uns ist es sogar in einer zweiten Angriffsvariante wegen eines Implementierungsfehlers gelungen, auf diese zusätzliche Rechenleistung zu verzichten“, berichtet Somorovsky. Die kostenlose Taktik funktioniert immerhin noch bei 26 Prozent aller Server weltweit.
Webseite bietet Tipps zum Schutz
„Vor Angriffen dieser Art kann man sich schützen“, so Somorovsky. Zunächst sollten Webadministratoren das SSLv2-Protokoll auf ihren Servern deaktivieren. Zudem bieten die Wissenschaftler seit dem 1. März 2016 die Webseite www.drownattack.com mit wichtigen Tipps zum Thema an. Dort kann jeder selbst testen, ob seine Webseite sicher ist.
Das jetzt entdeckte Sicherheitsproblem resultiert aus einer unrühmlichen Altlast: Der SSLv2-Standard wurde vor zwei Jahrzehnten mit den Kryptografie-Export-Regulationen absichtlich wenig sicher auf den Markt gebracht. „Aus den Fehlern der Vergangenheit müssen wir lernen“, so Somorovsky. „Wir brauchen dringend politisch und wirtschaftlich unabhängige Sicherheitsstandards im Internet!“
Kooperationsprojekt
Im Team arbeiteten in den vergangenen Monaten Juraj Somorovsky, Susanne Engels und Prof. Dr. Christof Paar vom Horst-Görtz-Institut der Ruhr-Universität Bochum gemeinsam mit Wissenschafterinnen und Wissenschaftler der Fachhochschule Münster sowie den Universitäten in Tel Aviv, Pennsylvania und Michigan und mit Forschern aus dem Hashcat-Projekt und von Open-SSL zusammen. Der mit Drown (Decrypting RSA with Obsolete and Weakened eNcryption) betitelte Angriff ist auch am 29. April 2016 im Rahmen der Ruhr-Sec-Konferenz in Bochum ein zentrales Thema.
