Tool soll SSL-Cookies in zehn Minuten knacken
Zwei Forscher wollen am Freitag ein Tool vorstellen, das verschlĂĽsselt ĂĽbertragene Cookies innerhalb weniger Minuten knacken kann. Die Schwachstelle ist seit 2006 bekannt, allerdings gab es bislang keinen praktikablen Weg, sie auszunutzen.
- Ronald Eikenberg
Die Forscher Juliano Rizzo und Thai Duong wollen kommenden Freitag auf der Sicherheitskonferenz ekoparty in Buenos Aires ein Tool namens BEAST (Browser Exploit Against SSL/TLS) vorstellen, mit dem ein Angreifer im gleichen Netz via SSL übertragene Browsercookies abgreifen und entschlüsseln können soll. Dazu führen die Forscher einen sogenannten "Block-wise chosen-plaintext"-Angriff (PDF) auf die verschlüsselten Pakete durch.
Dies setzt voraus, dass der Angreifer den Browser dazu bewegen kann, beliebige Werte über den verschlüsselten Kanal an den die Gegenstelle zu senden. Da der Angreifer nun sowohl den Klartext als auch den verschlüsselten Text kennt, kann er darauf auf die eingesetzte Entropie schließen und den Knackaufwand erheblich verringern. Gegenüber The Register gab Rizzo an, dass er dadurch ein verschlüsselt übertragenes PayPal-Cookie in unter zehn Minuten knacken könne.
Das eigentliche Geheimnis steckt in der Manipulation der Pakete – HTTPS-Seiten sind durch ihre Verschlüsselung eigentlich ausreichend davor geschützt. Die Forscher gaben lediglich an, dass BEAST zum einen auf JavaScript-Code basiert, der in den Browser des Opfers injiziert werden muss. Den Rest soll dann ein Netzwerksniffer erledigen. Wie das genau funktioniert, ist derzeit unklar und sorgt in der Sicherheitsszene für rege Diskussionen.
Voraussetzung für den Angriff ist, dass die verschlüsselte Kommunikation noch über Version 1.0 des TLS-Protokolls erfolgt. Bereits die im Jahr 2006 beschlossenen Version 1.1 ist nicht mehr auf diesem Weg angreifbar. In der Praxis werden aber nach wie vor fast alle HTTPS-Verbindungen über TLS 1.0 abgewickelt. Konkrete Vorschläge für Abhilfe gibt es noch nicht. Das auf vielen Servern eingesetzte OpenSSL unterstützt derzeit nur in der Entwicklerversion 1.0.1 das überarbeitete TLS 1.1. (rei)