Abo
  • Services:
Anzeige
Ertrinken in alten Protokollfehlern? Der DROWN-Angriff zeigt wieder einmal, wie fragil die TLS-Verschlüsselung ist.
Ertrinken in alten Protokollfehlern? Der DROWN-Angriff zeigt wieder einmal, wie fragil die TLS-Verschlüsselung ist. (Bild: Sarah Madden/CC0 1.0)

Schnellerer Drown-Angriff durch OpenSSL-Bugs

Der Drown-Angriff ist zwar durchaus praktikabel, aber der Aufwand ist relativ hoch. Doch den Forschern gelang es, eine deutlich optimierte Variante des Drown-Angriffs zu entwickeln. Ein Bug in der SSLv2-Implementierung OpenSSL, der in allen Versionen vor März 2015 zu finden ist, erlaubt es, den Angriff mit etwa 10.000 Verbindungen durchzuführen, die Berechnung des Angriffs ist innerhalb von Sekunden auf einem modernen PC möglich. Dieser Angriff ist damit schnell genug, um direkt eine TLS-Verbindung mittels eines Man-in-the-Middle-Angriffs zu übernehmen.

Anzeige

Der Bug wurde im vergangenen Jahr eher zufällig behoben, als die Entwickler von OpenSSL eine davon unabhängige, weniger kritische Sicherheitslücke schlossen. Dass dabei nebenher diese kritische Lücke ebenfalls gefixt wurde, hat damals niemand bemerkt.

Ein weiterer Bug in OpenSSL, der im Januar behoben wurde, erleichtert den Angriff ebenfalls unter bestimmten Umständen. Wie oben bereits erwähnt, nutzt der Drown-Angriff die alten Export-Ciphersuiten mit 40-Bit-Schlüsseln. Theoretisch ist auch ein Angriff gegen das DES-Verfahren (56 Bit) möglich, doch dann erhöht sich der Aufwand deutlich. Doch wie sich herausstellte, erlaubte OpenSSL auch Verbindungen mit Export-Ciphersuiten, wenn diese überhaupt nicht aktiviert sind.

Variante des Angriffs gegen QUIC

Eine weitere Variante des Angriffs betrifft das von Google entwickelte QUIC-Protokoll. QUIC ist ein Ersatz für TCP und TLS und wird von Google teilweise für seine eigenen Webseiten eingesetzt. Gelingt es einem Angreifer, eine einzige korrekte Signatur von einem privaten Schlüssel zu erhalten, kann er mittels QUIC einem Anwender die Identität des entsprechenden Servers vorgaukeln. Da eine RSA-Signatur und eine RSA-Entschlüsselung technisch praktisch identisch sind, lässt sich der Bleichenbacher-Angriff auch hier anwenden. Der Angriff gegen QUIC ist jedoch deutlich aufwändiger als der gewöhnliche Drown-Angriff. Die Autoren schätzen die Kosten für die Berechnungen auf über neun Millionen Dollar.

Bemerkenswert an dieser Angriffsvariante ist, dass der Server QUIC überhaupt nicht unterstützen muss. Ein Angreifer kann mittels einer HTTP-Verbindung eine QUIC-Verbindung initialisieren und dann dem Opfer eine falsche Webseite vorsetzen. Als Reaktion hat Google die Implementierung von QUIC in Chrome so abgeändert, dass nur noch Verbindungen zu einer Whitelist von bestimmten Webseiten möglich ist. Änderungen im Protokoll sollen künftig derartige Angriffe verhindern.

SSLv2 muss überall abgeschaltet werden

Sämtliche Varianten des Drown-Angriffs richten sich gegen das uralte SSLv2-Protokoll. Eigentlich sollte das längst überall abgeschaltet sein. In RFC 6176 heißt es eindeutig, dass sowohl Server als auch Clients keine SSLv2-Verbindungen zulassen dürfen. Hätten sich alle Serverbetreiber daran gehalten, wäre Drown nur ein theoretisches Problem.

Doch SSLv2 ist noch weit verbreitet. Für den Drown-Angriff genügt es bereits, wenn derselbe RSA-Schlüssel für verschiedene Hosts genutzt wird. So könnte beispielsweise ein HTTPS-Server zwar SSLv2-Verbindungen verbieten, wenn aber gleichzeitig ein Mailserver dasselbe Zertifikat nutzt und über SMTP auch SSLv2-Verbindungen zulässt, lassen sich die Verbindungen trotzdem angreifen. Einzige Voraussetzung ist, dass der HTTPS-Server in diesem Fall die RSA-Verschlüsselung nutzt. Idealerweise sollte das auch nicht der Fall sein, denn Verbindungen mit Forward Secrecy nutzen RSA nur noch für Signaturen.

22 Prozent der HTTPS-Server mit gültigem Zertifikat sind laut internetweiten Scans verwundbar - entweder weil sie direkt SSLv2 anbieten oder weil auf einem anderen Server oder auf einem anderen Port das alte Protokoll mit demselben Key unterstützt wird. Betrachtet man alle HTTPS-Server - inklusive solcher mit ungültigem Zertifikat - sind 33 Prozent verwundbar. Gescannt haben die Drown-Autoren die Ports für HTTPS (443), IMAP (143, 993), SMTP (25, 465, 587) und POP3 (110, 995). Doch selbst diese Daten sind möglicherweise unvollständig, denn andere Protokolle wie FTP oder XMPP, die ebenfalls SSL unterstützen können, wurden nicht getestet.

Insbesondere bei Mailservern werden gerne Konfigurationen genutzt, die möglichst viele Protokolle und Cipher unterstützen. Die Idee dabei: Wenn keine Verschlüsselung zustande kommt, werden Mails unverschlüsselt verschickt. "Eine schlechte Verschlüsselung ist besser als keine", denken sich daher viele. Der Drown-Angriff zeigt, dass diese Haltung gefährlich sein kann.

Die Schlussfolgerung aus dem Drown-Angriff ist klar: SSLv2 muss ohne Ausnahme überall abgeschaltet werden.

Risiken von alten Protokollen

Wie viele andere Angriffe vorher - man denke nur an FREAK, Logjam, POODLE oder SLOTH - nutzt auch Drown veraltete Verschlüsselungsmodi, um TLS anzugreifen. Das Überraschendste an Drown ist jedoch, dass ein Protokoll, das in der Praxis überhaupt nicht mehr nutzbar ist, da es in Browsern längst deaktiviert wurde, weiterhin ein Problem darstellen kann. Es zeigt auch, welche Probleme auftreten können, wenn derselbe kryptographische Key in verschiedenen Protokollen zum Einsatz kommt. Idealerweise sollte ein Key immer nur für einen Zweck eingesetzt werden, in TLS ist das allerdings oft schwer umsetzbar.

An der Entdeckung von Drown haben Forscher der Ruhr-Universität Bochum und der Fachhochschule Münster mitgewirkt. Ende April werden sie den Angriff auf der Ruhrsec-Konferenz in Bochum vorstellen.

 Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar

eye home zur Startseite
Proctrap 10. Mär 2016

Kann man ja bei allen i-wie verstehen, aber verisign... und immer noch nicht gefixt...

SteamKeys 04. Mär 2016

"Dieser letzte Schritt ist der aufwändigste, doch mittels einer optimierten GPU...

der-dicky 02. Mär 2016

Ja was den nu? updates einspielen reicht oder doch nicht :D

frostbitten king 02. Mär 2016

haha, autsch.

Tigtor 02. Mär 2016

Ist dafür nicht Brüssel zuständig?



Anzeige

Stellenmarkt
  1. equensWorldline GmbH, Aachen
  2. ROHDE & SCHWARZ SIT GmbH, Stuttgart
  3. twocream, Wuppertal
  4. IKOR Management- und Systemberatung GmbH, deutschlandweit


Anzeige
Blu-ray-Angebote
  1. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  2. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...
  3. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Ist doch Standard

    Gladiac782 | 21:49

  2. Re: 25MBit/s - wann begreifen die endlich, dass...

    bombinho | 21:47

  3. Re: Kann ich mit Alditalk nicht bestätigen

    AllDayPiano | 21:47

  4. Re: 16GB RAM unzeitgemäß

    Bouncy | 21:44

  5. 10 - 20 Gbit und < 1 ms ping

    jo-1 | 21:42


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel