Black Hat: Neue Angriffsmethoden auf SSL vorgestellt

Ein Sicherheitsforscher hat auf der derzeit stattfindenden Sicherheitskonferenz Black Hat einen neuen Angriff auf SSL-gesicherte Browser-Verbindungen vorgestellt, mit denen er Anwendern Log-in-Daten für Yahoo, Google und Paypal stehlen konnte.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Moxie Marlinspike hat auf der derzeit stattfindenden Sicherheitskonferenz Black Hat einen neuen Angriff auf SSL-gesicherte Browser-Verbindungen vorgestellt (PDF), mit denen er in der Lage war, Anwendern Log-in-Daten für Yahoo, Google und Paypal zu stehlen. Der Angriff ziehlt aber nicht direkt auf das Knacken einer SSL-Verbindung ab, sondern macht sich zunutze, dass Anwender in der Regel nie eine Seite mit einem vorangestellten https:// aufrufen. Vielmehr rufen sie zunächst die unverschlüsselte Seite auf und klicken dann einen Button, der etwa zur (vermeintlich verschlüsselten) Log-in-Seite führt.

Marlinspike hat dafür den Man-in-the-Middle-Proxy SSLStrip entwickelt, der im Prinzip alle https-Requests des Anwenders in http-Requests umwandelt. Auf der anderen Seite baut der Proxy die Verbindung zu dem vom Opfer aufgerufenen Server auf und ruft alle Inhalte ab. Wo es notwendig ist, kommuniziert der Proxy mit dem Server verschlüsselt, beispielsweise beim Log-in. Alle Daten vom Server schickt der Proxy unverschlüsselt an den Client zurück, sodass es gar nicht erst zu einer SSL-Verbindung kommt. Damit erscheint im Browser auch keine Fehlermeldung, etwa dass ein Zertifikat ungültig sei. Zwar zeigt der Browser dann auch nicht an, dass die Verbindung geschützt sei, und in der Adresszeile steht auch nur http://. Mit der Anzeige eines Schloßsymbols als Favicon sollen sich aber viele Anwender zufriedengeben und keinen Verdacht schöpfen, dass etwas nicht stimme.

Darüber hinaus hat Marlinspike aber weitere Methoden gezeigt, wie man mit eigenen Zertfikaten alle Sicherheitsmerkmale im Browser signalisiert, ohne eine Fehlermeldung zu provozieren. Dazu gehören unter anderem Zertifikate für Domains mit Sonderzeichen (IDN-Domains) oder solche, die auf den ersten Blick nicht als Domain zu erkennen sind. Marlinspike führt als Beispiel .ijjk.cn, die in der URL https://www.gmail.com/accounts/ServiceLogin?!f.ijjk.cn bei den meisten Anwendern wohl eher als Parameter für eine Google-Mail-Konto durchgehen dürften. Zwar ist diese Methode nicht wirklich neu, in Kombination mit SSLStrip dürften Angriffe auf Verbindungen damit aber erheblich erfolgreicher sein.

Allerdings funktioniert der beschriebene Angriff nur als Man-in-the-Middle-Attacke. Der Angreifer muss es somit schaffen, die Verbindungen seines Opfers über seinen Proxy umzuleiten. Während dies etwa mittels ARP-Spoofing in LANs kein großes Problem ist, funktioniert dies bei Heimanwendern in der Regel nur über eine Manipulation der Netzwerk- oder Routereinstellungen oder DNS-Cache-Poisoning.

Darüber hinaus nutzt der Angriff auch keine Lücke im SSL-Protokoll oder bei der Validierung von Zertifikaten. Vielmehr ergibt sich die Lücke aus den Schnittstellen zwischen Protokollen, dem Nutzerinterface und dem Nutzer selbst – aber auch das ist eigentlich nichts Neues.

Siehe dazu auch:

(dab)