Abo
  • Services:
Anzeige
Ertrinken in alten Protokollfehlern? Der DROWN-Angriff zeigt wieder einmal, wie fragil die TLS-Verschlüsselung ist.
Ertrinken in alten Protokollfehlern? Der DROWN-Angriff zeigt wieder einmal, wie fragil die TLS-Verschlüsselung ist. (Bild: Sarah Madden/CC0 1.0)

Schnellerer Drown-Angriff durch OpenSSL-Bugs

Der Drown-Angriff ist zwar durchaus praktikabel, aber der Aufwand ist relativ hoch. Doch den Forschern gelang es, eine deutlich optimierte Variante des Drown-Angriffs zu entwickeln. Ein Bug in der SSLv2-Implementierung OpenSSL, der in allen Versionen vor März 2015 zu finden ist, erlaubt es, den Angriff mit etwa 10.000 Verbindungen durchzuführen, die Berechnung des Angriffs ist innerhalb von Sekunden auf einem modernen PC möglich. Dieser Angriff ist damit schnell genug, um direkt eine TLS-Verbindung mittels eines Man-in-the-Middle-Angriffs zu übernehmen.

Anzeige

Der Bug wurde im vergangenen Jahr eher zufällig behoben, als die Entwickler von OpenSSL eine davon unabhängige, weniger kritische Sicherheitslücke schlossen. Dass dabei nebenher diese kritische Lücke ebenfalls gefixt wurde, hat damals niemand bemerkt.

Ein weiterer Bug in OpenSSL, der im Januar behoben wurde, erleichtert den Angriff ebenfalls unter bestimmten Umständen. Wie oben bereits erwähnt, nutzt der Drown-Angriff die alten Export-Ciphersuiten mit 40-Bit-Schlüsseln. Theoretisch ist auch ein Angriff gegen das DES-Verfahren (56 Bit) möglich, doch dann erhöht sich der Aufwand deutlich. Doch wie sich herausstellte, erlaubte OpenSSL auch Verbindungen mit Export-Ciphersuiten, wenn diese überhaupt nicht aktiviert sind.

Variante des Angriffs gegen QUIC

Eine weitere Variante des Angriffs betrifft das von Google entwickelte QUIC-Protokoll. QUIC ist ein Ersatz für TCP und TLS und wird von Google teilweise für seine eigenen Webseiten eingesetzt. Gelingt es einem Angreifer, eine einzige korrekte Signatur von einem privaten Schlüssel zu erhalten, kann er mittels QUIC einem Anwender die Identität des entsprechenden Servers vorgaukeln. Da eine RSA-Signatur und eine RSA-Entschlüsselung technisch praktisch identisch sind, lässt sich der Bleichenbacher-Angriff auch hier anwenden. Der Angriff gegen QUIC ist jedoch deutlich aufwändiger als der gewöhnliche Drown-Angriff. Die Autoren schätzen die Kosten für die Berechnungen auf über neun Millionen Dollar.

Bemerkenswert an dieser Angriffsvariante ist, dass der Server QUIC überhaupt nicht unterstützen muss. Ein Angreifer kann mittels einer HTTP-Verbindung eine QUIC-Verbindung initialisieren und dann dem Opfer eine falsche Webseite vorsetzen. Als Reaktion hat Google die Implementierung von QUIC in Chrome so abgeändert, dass nur noch Verbindungen zu einer Whitelist von bestimmten Webseiten möglich ist. Änderungen im Protokoll sollen künftig derartige Angriffe verhindern.

SSLv2 muss überall abgeschaltet werden

Sämtliche Varianten des Drown-Angriffs richten sich gegen das uralte SSLv2-Protokoll. Eigentlich sollte das längst überall abgeschaltet sein. In RFC 6176 heißt es eindeutig, dass sowohl Server als auch Clients keine SSLv2-Verbindungen zulassen dürfen. Hätten sich alle Serverbetreiber daran gehalten, wäre Drown nur ein theoretisches Problem.

Doch SSLv2 ist noch weit verbreitet. Für den Drown-Angriff genügt es bereits, wenn derselbe RSA-Schlüssel für verschiedene Hosts genutzt wird. So könnte beispielsweise ein HTTPS-Server zwar SSLv2-Verbindungen verbieten, wenn aber gleichzeitig ein Mailserver dasselbe Zertifikat nutzt und über SMTP auch SSLv2-Verbindungen zulässt, lassen sich die Verbindungen trotzdem angreifen. Einzige Voraussetzung ist, dass der HTTPS-Server in diesem Fall die RSA-Verschlüsselung nutzt. Idealerweise sollte das auch nicht der Fall sein, denn Verbindungen mit Forward Secrecy nutzen RSA nur noch für Signaturen.

22 Prozent der HTTPS-Server mit gültigem Zertifikat sind laut internetweiten Scans verwundbar - entweder weil sie direkt SSLv2 anbieten oder weil auf einem anderen Server oder auf einem anderen Port das alte Protokoll mit demselben Key unterstützt wird. Betrachtet man alle HTTPS-Server - inklusive solcher mit ungültigem Zertifikat - sind 33 Prozent verwundbar. Gescannt haben die Drown-Autoren die Ports für HTTPS (443), IMAP (143, 993), SMTP (25, 465, 587) und POP3 (110, 995). Doch selbst diese Daten sind möglicherweise unvollständig, denn andere Protokolle wie FTP oder XMPP, die ebenfalls SSL unterstützen können, wurden nicht getestet.

Insbesondere bei Mailservern werden gerne Konfigurationen genutzt, die möglichst viele Protokolle und Cipher unterstützen. Die Idee dabei: Wenn keine Verschlüsselung zustande kommt, werden Mails unverschlüsselt verschickt. "Eine schlechte Verschlüsselung ist besser als keine", denken sich daher viele. Der Drown-Angriff zeigt, dass diese Haltung gefährlich sein kann.

Die Schlussfolgerung aus dem Drown-Angriff ist klar: SSLv2 muss ohne Ausnahme überall abgeschaltet werden.

Risiken von alten Protokollen

Wie viele andere Angriffe vorher - man denke nur an FREAK, Logjam, POODLE oder SLOTH - nutzt auch Drown veraltete Verschlüsselungsmodi, um TLS anzugreifen. Das Überraschendste an Drown ist jedoch, dass ein Protokoll, das in der Praxis überhaupt nicht mehr nutzbar ist, da es in Browsern längst deaktiviert wurde, weiterhin ein Problem darstellen kann. Es zeigt auch, welche Probleme auftreten können, wenn derselbe kryptographische Key in verschiedenen Protokollen zum Einsatz kommt. Idealerweise sollte ein Key immer nur für einen Zweck eingesetzt werden, in TLS ist das allerdings oft schwer umsetzbar.

An der Entdeckung von Drown haben Forscher der Ruhr-Universität Bochum und der Fachhochschule Münster mitgewirkt. Ende April werden sie den Angriff auf der Ruhrsec-Konferenz in Bochum vorstellen.

 Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar

eye home zur Startseite
Proctrap 10. Mär 2016

Kann man ja bei allen i-wie verstehen, aber verisign... und immer noch nicht gefixt...

SteamKeys 04. Mär 2016

"Dieser letzte Schritt ist der aufwändigste, doch mittels einer optimierten GPU...

der-dicky 02. Mär 2016

Ja was den nu? updates einspielen reicht oder doch nicht :D

frostbitten king 02. Mär 2016

haha, autsch.

Tigtor 02. Mär 2016

Ist dafür nicht Brüssel zuständig?



Anzeige

Stellenmarkt
  1. Voith Global Business Services EMEA GmbH, Ulm
  2. Robert Bosch GmbH, Leonberg
  3. Basler AG, Ahrensburg bei Hamburg
  4. über 3C - Career Consulting Company GmbH, Frankfurt am Main


Anzeige
Spiele-Angebote
  1. (-60%) 5,99€
  2. (-85%) 1,49€
  3. (-11%) 39,99€

Folgen Sie uns
       


  1. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  2. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  3. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger

  4. Nur beratendes Gremium

    Bundestag setzt wieder Digitalausschuss ein

  5. Eclipse Foundation

    Erster EE4J-Code leitet Java-EE-Migration ein

  6. Breitbandmessung

    Provider halten versprochene Geschwindigkeit fast nie ein

  7. Virtualisierung

    Linux-Gasttreiber für Virtualbox bekommt Mainline-Support

  8. DJI Copilot von Lacie

    Festplatte kopiert SD-Karten ohne separaten Rechner

  9. Swift 5

    Acers dünnes Notebook kommt ab 1.000 Euro in den Handel

  10. Vodafone

    Callya-Flex-Tarife bekommen mehr Datenvolumen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

Kryptowährungen: Von Tulpen, Berg- und Talfahrten
Kryptowährungen
Von Tulpen, Berg- und Talfahrten
  1. Bitcoin Israels Marktaufsicht will Kryptoverbot an Börse durchsetzen
  2. Geldwäsche EU will den Bitcoin weniger anonym machen
  3. Kryptowährung 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

  1. Re: 100 Mbit/s bei der Telekom

    bombinho | 23:22

  2. !TOP News! Eisberge sind schlecht fuer die Titanic

    zonk | 23:18

  3. Re: es gibt nur keine gute? :p

    Neuro-Chef | 23:14

  4. Re: Ich brauche kein Volumen

    Crunchy_Nuts | 23:12

  5. Re: Bitte selber recherchieren und nicht einfach...

    Yash | 23:11


  1. 19:25

  2. 19:18

  3. 18:34

  4. 17:20

  5. 15:46

  6. 15:30

  7. 15:09

  8. 14:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel