• IT-Karriere:
  • Services:

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.

Artikel von Hanno Böck veröffentlicht am
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

Ein gängiges Feature vieler Netzwerk-basierter IT-Sicherheitslösungen ist es, mittels Man-in-the-Middle-Angriffen verschlüsselte HTTPS-Verbindungen mitzulesen. Inzwischen setzen immer mehr auf dem Client installierte Antiviren-Programme auf derartige Features, die unter Namen wie "SSL Inspection" angepriesen werden. In einer groß angelegten Untersuchung kamen jetzt Sicherheitsforscher und Mitarbeiter der Firmen Mozilla und Cloudflare zu dem Ergebnis, dass diese Produkte weit häufiger eingesetzt werden als bislang gedacht - und dass von ihnen enorme Risiken ausgehen.

Mehr Sicherheit durch Man-in-the-Middle-Angriffe?

Inhalt:
  1. HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS
  2. Bis zu zehn Prozent der Verbindungen betroffen
  3. Sicherheitslücken in Kaspersky-Software

Diese HTTPS-Interception-Produkte funktionieren nur, wenn ein Nutzer ein dafür vorgesehenes Root-Zertifikat in seinem Browser installiert. Sie erstellen dann automatisch für jede besuchte HTTPS-Webseite ein eigenes Zertifikat, das von diesem Root-Zertifikat signiert ist.

Die Gründe für derartige HTTPS-Interception sind vielfältig, am häufigsten wird sie jedoch von Sicherheitsprodukten eingesetzt. Aber auch Jugendschutzfilter, Software, die Werbebanner in Seiten einfügt, und Malware machen von derartigen Mechanismen Gebrauch.

Die Autoren einer kürzlich veröffentlichten Studie versuchten herauszufinden, wie verbreitet der Einsatz derartiger HTTPS-Interception-Produkte ist. Die Erkennung basierte dabei auf einer Heuristik. TLS-Implementierungen unterschieden sich in vielen Details: So gibt es zahlreiche optionale TLS-Erweiterungen und unzählige unterschiedliche Verschlüsselungsalgorithmen. Die TLS-Heartbeat-Erweiterung beispielsweise, die für den Heartbleed-Bug sorgte, wird von keinem Browser unterstützt. Wenn eine Verbindung mit dem User-Agent-Header eines Browsers erkannt wird, handelt es sich mit hoher Warscheinlichkeit um ein HTTPS-Interception-Produkt.

Stellenmarkt
  1. Deutsche Bahn AG, Berlin
  2. ip&more GmbH, München, Ismaning

Die Autoren verweisen jedoch auch auf die Probleme dieser Messmethode. So ist es beispielsweise völlig problemlos möglich, einen falschen User-Agent-String zu schicken. Insbesondere bei den von Cloudflare gesammelten Daten gehen die Autoren von vielen möglichen Fehlerquellen aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Bis zu zehn Prozent der Verbindungen betroffen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (u. a. Samsung 860 QVO 1 TB für 99,90€, Samsung 860 QVO 2 TB für 199,99€, Samsung Protable...
  2. täglich neue Deals bei Alternate.de

FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Coronakrise: IT-Freelancer müssen als Erste gehen
Coronakrise
IT-Freelancer müssen als Erste gehen

Die Pandemie schlägt bei vielen IT-Freiberuflern schneller zu als bei Festangestellten. Schon die Hälfte aller Projekte sind gecancelt. Überraschung: Bei der anderen Hälfte läuft es weiter wie bisher. Wie das?
Ein Bericht von Peter Ilg

  1. Coronavirus Media Markt und Saturn stoppen Mietzahlungen
  2. Corona Besitzer von Media Markt Saturn beantragt Staatshilfe
  3. Coronakrise EU wertet Kontaktsperren mit Mobilfunkdaten aus

Lkw-Steuerung: Der ferngesteuerte Lastwagen
Lkw-Steuerung
Der ferngesteuerte Lastwagen

Noch steuern den automatisierten Lastwagen T-Pod Entwickler, die Lkw-Fahren gelernt haben. Jetzt wird erstmals der umgekehrte Fall getestet - um das System kommerziell zu machen.
Ein Bericht von Werner Pluta

  1. Neue Prioritäten Daimler setzt beim autonomen Fahren zuerst auf Lkw
  2. Autonomes Fahren AutoX und Fiat planen autonome Taxis in China
  3. Human Drive Autonomer Nissan Leaf fährt durch Großbritannien

Microsoft Teams im Alltag: Perfektes Werkzeug, um Effizienz zu vernichten
Microsoft Teams im Alltag
Perfektes Werkzeug, um Effizienz zu vernichten

Wir verwenden Microsofts Chat-Dienst Teams seit vielen Monaten in der Redaktion. Im Alltag zeigen sich so viele Probleme, dass es eigentlich eine Belohnung für alle geben müsste, die das Produkt verwenden.
Von Ingo Pakalski

  1. Microsoft Die neue Preview des Windows Admin Center ist da
  2. Coronavirus Microsoft will dieses Jahr alle Events digital abhalten
  3. Microsoft Office 365 wird umbenannt

    •  /