Secure Sockets Layer: Sechs Methoden, wie Hacker SSL zu knacken versuchen
SSL ist ein lukratives Ziel und wird gerne von böswilligen Hackern ins Visier genommen. Wir zeigen sechs Angriffs-Methoden auf Secure Sockets Layer.
Secure Sockets Layer (SSL) wird zum Schutz von Millionen von Netzwerk-Anwendern eingesetzt. Aber wie verwundbar ist das Protokoll? In den letzten paar Jahren hat es eine ganze Reihe an Angriffen gegeben, um SSL zu unterlaufen. Im Grunde ist die Technologie sicher. Allerdings halten Angreifer laufend Ausschau nach Schlupflöchern, um die Security-Protokolle und -Standards zu umgehen. SSL ist natürlich ein lukratives Ziel. Es wird unter anderem eingesetzt, um sensiblen Datenverkehr über HTTP (Hypertext Transfer Protocol) zu schützen. Cyberkriminelle schauen gerne über den Tellerrand und suchen ständig nach neuen Wegen, um sich Zugriff auf sensible Daten zu ergaunern. Sehen wir uns einige verschiedene Methoden an, wie böswillige Hacker SSL zu knacken versuchen.
Trickbetrüger: Man könnte den Anwender hereinlegen, damit dieser ein faules Zertifikat akzeptiert. Das ist die klassische Herangehensweise, um SSL anzugreifen. Die Idee dahinter ist, den Anwender durch eine Webseite zu leiten, selbst wenn er eine Warnung oder einen Fehler angezeigt bekommt. Ein solcher Angriff ist relativ einfach auszuführen. Allerdings muss das Opfer pro-aktiv werden und das offensichtlich nicht ganz saubere Zertifikat annehmen. Die meisten Anwender kennen das in der Zwischenzeit und lassen sich nicht mehr aufs Glatteis führen. Aus diesem Grund ist die Bedrohung eher gering einzustufen.
Gefälschte Zertifikate: Diese Methode scheint etwas weit hergeholt zu sein. Allerdings ist sie in der Vergangenheit erfolgreich durchgeführt worden. Es gibt wenige Fälle, bei denen sich Cyberkriminelle gültige Zertifikate ergaunern konnten und diese missbraucht haben. Im Jahre 2011 sind böswillige Hacker allerdings bei einer holländischen Zertifikats-Stelle eingebrochen. Danach haben Sie falsche Zertifikate für Seiten wie Yahoo!, Google, WordPress und andere erstellt. Da es sich um gültige Zertifikate handelte, konnten die Angreifer den HTTPS-Schutz aushebeln. Allerdings ist auch diese Art von Angriffen als geringe Bedrohung einzustufen.
SSL wegnehmen und Daten im Klartext versenden: Im Jahre 2009 wurde eine neue Technik für das Unterlaufen von SSL bekannt, die sich SSLStrip nennt. Anstatt zu hoffen, dass der Anwender die Warnungen ignoriert, agiert das Tool als Proxy und demontiert einfach das S aus HTTPS. Somit ist der Anwender logischerweise mit HTTP unterwegs. SSLStrip erlaubt es dem Angreifer auch, das „Schloss“-Favicon anzuzeigen. Der einzige Indikator, dass etwas nicht stimmt, ist die URL-Zeile des Browsers. Diese zeigt nun HTTP anstelle von HTTPS an. Sollte dem Anwender das klitzekleine Detail nicht auffallen, kann der Angreifer die im Klartext versendeten Dateien mitlesen. Die Bedrohungs-Stufe für diese Methode ist als mittel einzustufen.
Die Schlüssel knacken: Die meisten Zertifikate nutzen derzeit Schlüssel mit 1024 oder 2048 Bit. Letzterer ist extrem stark und es würde eine Ewigkeit dauern, diesen mit einem herkömmlichen Desktop-Computer zu knacken. Allerdings gibt es Gerüchte, dass die NSA (National Security Agency) große Fortschritte bezüglich des Zugriffs auf SSL-Datenverkehr gemacht hat. Einige glauben, dass die NSA neue Quanten-Computing-Techniken erfunden hat. Wahrscheinlicher ist aber, dass die NSA ganz einfach im Besitz der Schlüssel ist oder Hintertüren (Backdoor) in Software und Hardware eingeschleust hat. Inwieweit die NSA und andere den SSL-Datenverkehr auslesen können, ist derzeit nicht bekannt. Somit lässt sich auch die Bedrohungs-Stufe schlecht einschätzen.
Man in the Middle: Dieser Angriff ist eine Form von aktiven Lauschangriffen. Bei Man in the Middle baut ein Angreifer unabhängige Verbindungen zum Opfer auf und leitet Nachrichten an den Server weiter. Konkreter Fall: Lucky 13, das nach den 13-Byte-Headern in den „Transport Layer Security Media Access Control“-Berechnungen benannt ist. Dieser Chiffriertext-Angriff ist theoretisch möglich. Allerdings bräuchten Sie dafür eine überwachte Umgebung und sehr sehr viel Zeit. Aus diesem Grund gilt diese Methode als sehr wenig bedrohlich.
Seitenkanal-Angriffe: In den vergangenen Jahren wurden diverse Seitenkanal-Angriffe (Side-channel attacks) demonstriert. Mit diesen lassen sich HTTP-Anfragen und Autorisierungs-Cookies wiedererlangen. Ein Beispiel dafür ist BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext). BREACH nutzt die Komprimierung und macht sich HTTP-Antworten zu Nutze, die mit einem Mechanismus wie zum Beispiel gzip komprimiert sind. Damit eine Applikation verwundbar ist, muss Sie Komprimierung auf HTTP-Ebene einsetzen, Anwender-Eingaben in HTTP-Antworten widerspiegeln und Cross-Site Request Forgery Tokens im Body der HTTP-Antworten enthüllen. Das ist natürlich theoretisch möglich. Allerdings kann man mit gezielten Kontrollmechanismen diese Art von Angriffen abschwächen. Aus diesem Grund ist die Bedrohung eher gering.
Fazit
Viele dieser Angriffs-Methoden sind eher theoretischer Natur. Allerdings ist es wichtig zu erwähnen, dass Exploits wie diese im Laufe der Zeit verfeinert werden. Deswegen ersetzt man Schlüssel mit 1024 Bit Stärke immer mehr durch solche mit 2048 Bit. Um Ihren Informationen maximalen Schutz zu gewährleisten, sind starke und gut implementierte Verschlüsselungs-Algorithmen notwendig. Außerdem brauchen wir bessere Gesetze, um die Privatsphäre einer individuellen Person zu schützen. Notwendig sind auch Algorithmen, die sich öffentlich inspizieren lassen. Nur dann werden wir auf Dauer eine Chance haben, wirklich sicher im Netz unterwegs zu sein.
Über den Autor: Michael Gregg (CISSP, CISA, CISM, CASP) ist ein ethischer Hacker, der Cybersecurity- und Penetrations-Testing-Dienste für Fortune-500-Firmen und Behörden in den USA anbietet. Er hat mehr als ein Dutzend Bücher über IT-Security veröffentlicht. Weiterhin ist er bekannt für seine Vorträge und Security-Schulungen. Gregg ist Chief Operations Officer von Superior Solutions Inc., die ihren Hauptsitz in Houston haben.