SSL/TLS-Protokoll geknackt

Wer online seine Bank besucht nimmt an, dass dieser Weg sicher ist. Zwei Forscher haben nun das Gegenteil bewiesen.

Was ist ein SSL/TLS-Protokoll?

Das SSL/TLS-Protokoll wird häufig im Online Banking genutzt. Bei dem Besuch des Onlinebankbesuches geht man über eine HTTPS Adresse. Hinter diesem „S“ verbirgt sich das SSL/TLS-Protokoll. Internetadressen die mit HTTPS beginnen, verschlüsseln die Kommunikation zwischen Webseite und User. Diese HTTPS Adressen, galten bis anhin als sicher.

Das Problem

Wie schon erwähnt, galt das SSL/TLS-Protokoll bis anhin als sicher. Zwei Forscher behaupten nun, die SSL-Verschlüsselung geknackt zu haben. Die Forscher Juliano Rizzo und Thai Duong haben den Beweis auf der Ekoparty Security Conference geliefert. Mit Hilfe dieser Applikation lässt sich die verschlüsselte Kommunikation mit Webseiten abhören.
Die Forscher behaupten auch Instant Messenger und VPN – Verbindungen attackieren zu können.

Wie funktioniert BEAST

Die Forscher nutzen eine Schwachstelle der SSL/TLS-Implementation aus. Diese Implementation findet sich bei allen grösseren Browsern.
Der Angreifer muss zuerst in die Position des „Man in the middle“ gelangen, d.h. sich unerkannt im selben Netzwerk befinden wie sein Opfer und dessen Kommunikation mit der Zielseite mitschneiden. Besucht das Opfer dann eine Seite wie Pay Pal, wartet der Angreifer ab, bis sich das Opfer eingeloggt hat. Die Webseite sendet dem User einen verschlüsselten Session Cookie, das ist eine Art zeitlich begrenzter Ausweis mit dem sich der Nutzer bei der Webseite authentifiziert solange er auf ihr surft. Dieser Cookie ist verschlüsselt, nun ist es den zwei Forschern gelungen diesen zu entschlüsseln und anschliessend selber zu nutzen. Sie geben sich also für den eigentlichen Inhaber des Accounts aus.
Das Programm der beiden Forscher benötigte eine halbe Stunde für die Entschlüsselung einer Übertragung.
Die Forscher nannten ihr Tool BEAST (Browser Exploit Against SSL/TLS).
Dass es eine Schwachstelle in der Version 1.0 des Transport Layer Security (TLS) gibt, ist schon seit sieben Jahren bekannt. GMail, Pay Pal, Banken etc. benutzen diese Version. Für sie gab es bisher keinen Handlungsbedarf, da die Schwachstelle nur vermutet wurde. Nun wurde sie bewiesen.

 Lösung des neu entstandenen Sicherheitsproblems

Es gibt die Versionen 1.1 und 1.2 des Transport Layer Security (TLS), diese gelten als weniger anfällig. Jedoch sind sie noch kaum verbreitet.
Die meisten Web-Site-Betreiber nutzen sie nicht, weil beide Versionen diverse Funktionen ihrer Seite lahmlegen würden. Zudem unterstützen auch viele Browser die höheren Versionen nicht.

Links und Quellen

http://pc.de/software/anwendung-knackt-ssl-verschluesselung-2958

http://www.zeit.de/digital/datenschutz/2011-09/https-unsicher-beast

Share

Comments are closed.