HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.

Artikel von Hanno Böck veröffentlicht am
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

Ein gängiges Feature vieler Netzwerk-basierter IT-Sicherheitslösungen ist es, mittels Man-in-the-Middle-Angriffen verschlüsselte HTTPS-Verbindungen mitzulesen. Inzwischen setzen immer mehr auf dem Client installierte Antiviren-Programme auf derartige Features, die unter Namen wie "SSL Inspection" angepriesen werden. In einer groß angelegten Untersuchung kamen jetzt Sicherheitsforscher und Mitarbeiter der Firmen Mozilla und Cloudflare zu dem Ergebnis, dass diese Produkte weit häufiger eingesetzt werden als bislang gedacht - und dass von ihnen enorme Risiken ausgehen.

Mehr Sicherheit durch Man-in-the-Middle-Angriffe?

Inhalt:
  1. HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS
  2. Bis zu zehn Prozent der Verbindungen betroffen
  3. Sicherheitslücken in Kaspersky-Software

Diese HTTPS-Interception-Produkte funktionieren nur, wenn ein Nutzer ein dafür vorgesehenes Root-Zertifikat in seinem Browser installiert. Sie erstellen dann automatisch für jede besuchte HTTPS-Webseite ein eigenes Zertifikat, das von diesem Root-Zertifikat signiert ist.

Die Gründe für derartige HTTPS-Interception sind vielfältig, am häufigsten wird sie jedoch von Sicherheitsprodukten eingesetzt. Aber auch Jugendschutzfilter, Software, die Werbebanner in Seiten einfügt, und Malware machen von derartigen Mechanismen Gebrauch.

Die Autoren einer kürzlich veröffentlichten Studie versuchten herauszufinden, wie verbreitet der Einsatz derartiger HTTPS-Interception-Produkte ist. Die Erkennung basierte dabei auf einer Heuristik. TLS-Implementierungen unterschieden sich in vielen Details: So gibt es zahlreiche optionale TLS-Erweiterungen und unzählige unterschiedliche Verschlüsselungsalgorithmen. Die TLS-Heartbeat-Erweiterung beispielsweise, die für den Heartbleed-Bug sorgte, wird von keinem Browser unterstützt. Wenn eine Verbindung mit dem User-Agent-Header eines Browsers erkannt wird, handelt es sich mit hoher Warscheinlichkeit um ein HTTPS-Interception-Produkt.

Stellenmarkt
  1. IT-Administrator (m/w/d) im Bereich ERP mit PHP-Skills
    EBB Truck-Center GmbH, Baden-Baden
  2. IT Solution Architect Custom & AI Solutions (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
Detailsuche

Die Autoren verweisen jedoch auch auf die Probleme dieser Messmethode. So ist es beispielsweise völlig problemlos möglich, einen falschen User-Agent-String zu schicken. Insbesondere bei den von Cloudflare gesammelten Daten gehen die Autoren von vielen möglichen Fehlerquellen aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Bis zu zehn Prozent der Verbindungen betroffen 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. SpaceX Inspiration 4: Laien-Astronauten nach Reise ins Weltall zurück auf der Erde
    SpaceX Inspiration 4
    Laien-Astronauten nach Reise ins Weltall zurück auf der Erde

    Die Weltraumtouristen der Dragon-Ramkapsel von SpaceX waren weiter weg von der Erde als die Besatzung der Internationalen Raumstation (ISS).

  3. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /