Seite 3: HTTPS ohne "S"

Inhaltsverzeichnis

Entschlüsselungstricks

Wollen Sie den Inhalt verschlüsselter Verbindungen auswerten, müssen Sie die Verschlüsselung nicht zwangsläufig knacken – Sie können auch auf die Unachtsamkeit des Nutzers spekulieren: Das Werkzeug sslstrip ersetzt als Zwangsproxy sämtliche Verweise auf https://-Adressen durch http://. Im Fall von Chrome und Firefox funktioniert das allerdings nur noch bei älteren Browser-Versionen zuverlässig. Die aktuellen werten den HSTS-Header aus, durch den ein Server den Browser anweisen kann, ausschließlich über HTTPS zu kommunizieren. Der Internet Explorer in der bei Entstehung dieses Artikels aktuellen Version 11 fällt allerdings noch auf sslstrip rein.

Verschlüsselung kommt nur zwischen sslstrip und dem Dienst zum Einsatz. Das ist nötig, weil viele Dienste inzwischen ausschließlich über HTTPS erreichbar sind. Ganz so trivial wie die bisherigen Helferlein bedient sich sslstrip allerdings nicht: Damit der Datenverkehr bei dem Tool ankommt, müssen Sie den Datenverkehr mit dem Netzwerkfilter iptables umlenken. Ferner benötigt es einen unverschlüsselten Einstiegspunkt wie etwa die automatische Umleitung von http://paypal.com auf https://paypal.com. Steuert der Nutzer zielstrebig die HTTPS-Adresse an, kann sslstrip nicht einhaken.

Will man zum Beispiel den Krypto-Traffic einer Smartphone-App untersuchen, muss man einen universellen Ansatz wählen. Der Zwangsproxy sslsniff serviert die Datenpakete im Unterschied zu sslstrip weiterhin verschlüsselt. Damit das Tool den Klartext mitlesen kann, spielt es dem Opfer dessen Zielserver vor. Dazu stellt sich sslsniff mit seiner eigenen CA ein passendes Zertifikat auf den Namen des Servers aus. Da die Anwendung auf dem Client dieser CA nicht vertraut, zeigt sie einen Warnhinweis an oder lehnt die verschlüsselte Verbindung ab. Um das zu verhindern, muss der Client das CA-Zertifikat importieren. Das erfordert physischen Zugriff – dies ist aber keine Hürde, wenn die zu analysierende App ohnehin auf dem eigenen Smartphone läuft.

Zur komfortablen Analyse und Manipulation von HTTP(S)-Anfragen bringt Kali eine Reihe von Web-Analyseproxies mit. Die prominentesten Vertreter dieser Gattung heißen Burp Suite, OWASP Zed Attack Proxy (ZAP) und mitmproxy. Die Programme bieten im lokalen Netzwerk standardmäßig auf Port 8080 ihre Dienste an. Durchgeleitete Verbindungen kann man nicht nur betrachten, sondern auch interaktiv abfangen, um sie anschließend mit manipulierten Werten an ihr eigentliches Ziel zu schicken. Entwickler können so zum Beispiel den Datenverkehr zwischen Browser und Web-Anwendung gezielt mit unerwarteten Inhalten füttern, um potenzielle Sicherheitslücken aufzuspüren. Burp und Zap bieten umfangreiche Bedienoberflächen, mitmproxy läuft auf der Konsole. Zu welchem Kandidaten man greift, ist letztlich Geschmackssache.