Schattenblick → INFOPOOL → NATURWISSENSCHAFTEN → TECHNIK


INFORMATIONSTECHNOLOGIE/1075: Web - Sicherheitsstandard TLS ausgehebelt (idw)


Ruhr-Universität Bochum - 02.03.2016

Web: Sicherheitsstandard TLS ausgehebelt


Sie vertrauen auf das kleine grüne Schloss in der URL-Zeile Ihres Browsers beim Online-Banking? Seien Sie vorsichtig: Bei einem Drittel aller Server weltweit lassen sich der internationale anerkannte Sicherheitsstandard TLS und die verschlüsselte Datenübertragung aushebeln. Betroffen sind alle Formen der Kommunikation im Internet, bei denen sensible Daten im Spiel sind: Online-Banking, Online-Shopping, E-Goverment-Dienste und unsere E-Mail-Kommunikation. Das zeigt eine aktuelle Studie, an der auch das Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum beteiligt ist.

Fataler Fehler führt zu Sicherheitslücken

Das internationale Forscherteam setzte bei seinem kryptographischen Angriff auf einen alten Bekannten: "SSLv2" ist die als unsicher geltende Vorgängerversion des aktuellen Sicherheitsprotokolls TLS. "SSLv2 schlummert weiterhin auf vielen Servern, auch wenn längst TLS angewendet wird", sagt Juraj Somorovsky vom Bochumer Horst-Görtz-Institut. Die alte Version sei häufig ersetzt, nicht aber endgültig gelöscht worden. Ein fataler Fehler, wie sich jetzt zeigt: Über dieses Einfallstor lassen sich die TLS-Sicherheitsmechanismen umgehen und damit sind Benutzernamen, Passwörter, Kreditkartenummern oder Finanzdaten schutzlos preisgegeben.

Angriff zum Sparpreis

Die Forscher scannten das gesamte https-Netz und stellten fest, dass von ihrem Angriff weltweit rund 33 Prozent aller Server, also etwa 11,5 Millionen Stück, betroffen sind. Lediglich 440 US-Dollar sind für einen Angriff nötig. Damit konnten die Wissenschaftler Grafikkarten mit schneller Rechenleistung für ihre Probeangriffe in einer AMAZON-Cloud mieten. "Uns ist es sogar in einer zweiten Angriffsvariante wegen eines Implementierungsfehlers gelungen, auf diese zusätzliche Rechenleistung zu verzichten", berichtet Somorovsky. Die kostenlose Taktik funktioniert immerhin noch bei 26 Prozent aller Server weltweit.

Webseite bietet Tipps zum Schutz

"Vor Angriffen dieser Art kann man sich schützen", so Somorovsky. Zunächst sollten Webadministratoren das SSLv2-Protokoll auf ihren Servern deaktivieren. Zudem bieten die Wissenschaftler seit dem 1. März 2016 die Webseite www.drownattack.com mit wichtigen Tipps zum Thema an. Dort kann jeder selbst testen, ob seine Webseite sicher ist. Das jetzt entdeckte Sicherheitsproblem resultiert aus einer unrühmlichen Altlast: Der SSLv2-Standard wurde vor zwei Jahrzehnten mit den Kryptographie-Export-Regulationen absichtlich wenig sicher auf den Markt gebracht. "Aus den Fehlern der Vergangenheit müssen wir lernen", so Somorovsky. "Wir brauchen dringend politisch und wirtschaftlich unabhängige Sicherheitsstandards im Internet!"

Kooperationsprojekt

Im Team arbeiteten in den vergangenen Monaten Juraj Somorovsky, Susanne Engels und Prof. Christof Paar vom Horst-Görtz-Institut der Ruhr-Universität Bochum gemeinsam mit Wissenschafterinnen und Wissenschaftler der Fachhochschule Münster sowie den Universitäten in Tel Aviv, Pennsylvania und Michigan und mit Forschern aus dem Hashcat Projekt und von OpenSSL zusammen. Der mit DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) betitelte Angriff ist auch am 29. April 2016 im Rahmen der RuhrSec Konferenz in Bochum ein zentrales Thema.

Text: Meike Klinck

Weitere Informationen unter:
http://aktuell.ruhr-uni-bochum.de/pm2016/pm00024.html.de

Kontaktdaten zum Absender der Pressemitteilung unter:
http://idw-online.de/de/institution2

*

Quelle:
Informationsdienst Wissenschaft e. V. - idw - Pressemitteilung
Ruhr-Universität Bochum, Raffaela Römer, 02.03.2016
WWW: http://idw-online.de
E-Mail: service@idw-online.de


veröffentlicht im Schattenblick zum 4. März 2016

Zur Tagesausgabe / Zum Seitenanfang