marog-pixcells - Fotolia

F

Forbidden Attacks: Gefahr für HTTPS-Verbindungen

Mit Forbidden Attacks können fehlerhaft konfigurierte HTTPS-Verbindungen übernommen und manipuliert werden. Wie funktioniert diese Angriffstechnik?

Unsaubere Implementierungen von TLS (Transport Layer Security) haben dazu geführt, dass Dutzende eigentlich durch HTTPS vor Angreifern geschützte Webseiten nicht mehr sicher waren. Betroffen waren unter anderem die Webseiten von Visa und einigen anderen Finanzinstituten. Die von mehreren Sicherheitsforschern entdeckte Angriffsmethode wird „Forbidden Attack“ genannt.

Verschlüsselung fehlerfrei umzusetzen, ist ein fortlaufender Prozess und erfordert einen erheblichen Aufwand. Es kommt jedoch immer wieder vor, dass Softwareentwickler und Unternehmen den benötigten Aufwand und seine Bedeutung unterschätzen. Die Sicherheitsforscher Hanno Böck, Aaron Zauner, Sean Devlin, Juray Somorovsky und Philipp Jovanovic haben auf der Black Hat Conference 2016 ein White Paper vorgestellt, in dem sie den so genannten Forbidden Attack beschreiben. Außerdem haben sie ein Tool entwickelt, um den Angriff zu demonstrieren.

Ein Forbidden Attack wird möglich, wenn eine so genannte Nonce mehrfach genutzt wird, um eine mit AES-GCM verschlüsselte Verbindung via HTTPS zu einem Server aufzubauen. Eine Nonce ist eine zufällige Buchstaben- und Ziffernfolge, die nur kurzfristig genutzt werden sollte und deswegen eigentlich schnell ersetzt werden müsste. Die Technik wird von Entwicklern verwendet, die die Schwierigkeiten bei der Generierung von zufälligen 8-Byte-Werten nicht verstanden haben. Eine Nonce sollte eigentlich nur zum Aufbau der verschlüsselten Verbindung genutzt werden. Wenn sie später erneut verwendet wird, kann ein Man-in-the-Middle-Angriff durchgeführt werden, bei dem ein Angreifer die HTTPS-Verbindung übernehmen und Daten manipulieren kann.

Das White Paper der Sicherheitsforscher nennt mehrere Möglichkeiten, um eine unsichere HTTPS-Konfiguration zu entdecken. So gibt es verschiedene Schwachstellen-Scanner, SSL-Scanner und HTTPS-Scanner wie masscan, die eine Überprüfung der HTTPS-Konfiguration erlauben sollen. Unternehmen, die ein gefährdetes System einsetzen, sollten unbedingt einen Patch einspielen. Wenn noch kein Patch verfügbar ist, sollte der Hersteller des fraglichen Systems informiert und um ein Sicherheits-Update gebeten werden.

Unsichere Einstellungen sollten außerdem wie andere Schwachstellen behandelt und möglichst schnell behoben werden. Das ist bei der Vielzahl an möglichen HTTPS-Einstellungen nicht einfach. Unternehmen wird geraten, einen Standardsatz an empfohlenen Einstellungen zu entwickeln, den ihre Administratoren verwenden können. Das hat den Vorteil, dass sie ihre Systeme nicht mehr individuell konfigurieren müssen. Standardisierungsgremien können Unternehmen und Hersteller bei diesem Prozess unterstützen, um künftig Software zu entwickeln, die leichter zu bedienen und damit sicherer zu konfigurieren ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Ausfallsicherheit von Webservern verbessern.

Report: Verschlüsselter SSL-Traffic ist eine Gefahr für Unternehmen.

Wieviel Zeitaufwand ist fürs Patchen und Updaten gerechtfertigt?

Wie lassen sich verborgene SSL-Angriffe erkennen und abwehren?

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close