Blog

Zurück zur Übersicht

Freak Attack!

   06.03.2015   OpenSSL, Heartbleed, Attacke, SSL, Bug, Sicherheit


Noch haben wir das Jahr 2014 und seine Sicherheitsdisaster (Heartbleed, Shellshock Bash) in bester Erinnerung, da geht es im neuen Jahr auch schon fröhlich weiter; allerdings augenscheinlich nicht ganz so dramatisch.


Um was geht es?

Basierend auf einer Sicherheitslücke bei der Verwendung des TLS-Protokolles (Smacktls) von Karthikeyan Bhargavan am INRIA in Paris, hat eine Forschergruppe von der University of Michigan herausgefunden, dass Millionen von Webseiten über das Angriffsszenario Freak ihren SSL/TLS-verschlüsselten Datenverkehr preisgeben könnten. Zurückzuführen ist die aktuelle Sicherheitslücke auf die 90er Jahre, als die US-Regierung den Export von starken Verschlüsselung „export grade encryption“ zugunsten ihrer Geheimdienste einschränkte. Unterstützt ein aktueller Server diese Varianten noch, erlaubt dies einem Angreifer durch Manipulation beim Verbindungsaufbau den Rückfall auf eine unsichere Verschlüsselung zu erzwingen. Allerdings muss auch der Client diese Methode zwingend unterstützen, da sonst der Rückfall nicht klappt.

Wer ist betroffen?

Viele bekannte Webseiten, wie Groupon, die NSA oder ZDNet finden sich unter den betroffenen Servern. Insgesamt sind ca. 10% der Top 1 Million von Alexa nach ersten Tests davon betroffen. Seit dem bekannt werden der Sicherheitslücke, nimmt die Zahl jedoch stetig ab.

Bei den Webbrowsern hingegen ist die Zahl noch am Steigen. War in ersten Meldungen nur von Webbrowser auf Android und Safari die Rede, stehen bis zum jetzigen Zeitpunkt schon fast alle gängigen Webbrowser auf der Liste; einzige Ausnahme ist Mozillas Firefox. Viele Hersteller haben schnelle Updates auf die kommende Woche versprochen und der erste Patch für Chrome auf OS X ist gar schon erhältlich.

 Was kann dagegen unternommen werden?

Server-Betreiber / Hoster

Wer einen Webserver betreibt der noch verwundbar ist, sollte dort die Unterstützung für „TLS export cipher suites“ abschalten. Bei dieser Gelegenheit wird empfohlen, auch gleich noch andere, ältere und als unsicher geltende Verschlüsselungsformen abzuschalten. Einen guten Überblick des eigenen Servers ergibt ein Test bei SSLLabs. Eine Information der eigenen Kunden und Endkunden kann auch nie schaden.

 Browser-Benutzer

Ob der eigenen Webbrowser noch anfällig ist, kann mit dem Freak Attack Client Test  überprüft werden. Fällt dieser dabei durch, steht ein baldmöglichstes Update des Webbrowsers an, sofern das Update schon erhältlich ist, oder der temporäre Umstieg auf einen anderen, der nicht (mehr) verwundbar ist.

 System-Administrator / Entwickler

System-Administratoren und Entwickler hingegen sollten ihre verwendeten TLS-Bibliotheken updaten; zurzeit sind OpenSSL und Microsofts Schannel heisse Kandidaten. Zudem sollte überprüft werden, dass die eigene Software keine „TLS export grade cipher suites“ anbietet, da damit auch schon gepatchte TLS-Bibliotheken wieder unterlaufen werden können.

 Weiterführende Links:

Weitere Infos sind auf der Freak Attack-Webseite zu finden: https://freakattack.com



0
0



Hinterlassen Sie einen Kommentar: