SSL-Stripping und Man-in-the-middle-Attacken
Bedrohungen im World Wide Web: PSW Group rät zur zusätzlichen Absicherung des HTTPS-Protokolls
Das HTTP Public Key Pinning wurde als Verfahren eingeführt, um insbesondere MitM-Angriffe zu verhindern
Die Verschlüsselung von Daten mittels SSL- oder TLS-Zertifikat ist ein probates Mittel, die Sicherheit im Internet zu erhöhen. Ordentlich implementiert und sinnvoll konfiguriert ist moderne Verschlüsselung schwer zu knacken. "Nichtsdestotrotz gibt es Kriminelle, die sich davon nicht einschüchtern lassen, und denen es gelingen kann, die Verschlüsselung zu umgehen", macht IT-Sicherheitsexpertin Patrycja Tulinska aufmerksam.
Die Geschäftsführerin der PSW Group nennt mit SSL-Stripping sowie Man-in-the-middle-Attacken in diesem Zusammenhang zwei Gefahren im Internet, die nicht unterschätzt werden dürfen: "Das Programm SSLstrip beispielsweise positioniert sich zwischen Client und Server und greift Daten vor ihrer Verschlüsselung – auf dem Weg zwischen Server und Website – ab. Damit können Angreifer, die dieses Tool nutzen, sämtliche Daten im Klartext mitlesen, die Kunden an einen Online-Shop übermitteln", warnt die Expertin. Da SSL-Stripping keine Warnmeldung im Browser erzeugt, bekommt auch niemand etwas davon mit.
"Um SSL-Stripping zu verhindern, können Websitebetreiber die Verschlüsselung für alle Unterseiten der Webpräsenz aktivieren. Zudem sollten eingehende http-Verbindungen auf sichere HTTPS-Verbindungen umgeleitet werden. Auch Cookies sollten keinesfalls über ungesicherte HTTP-Verbindungen zurückgesendet werden", rät Patrycja Tulinska.
Eine ähnliche Methode wie SSL-Stripping sind Man-in-the-middle-Attacken (MitM-Attacken). Der Angreifer schaltet sich zwischen das Opfer, also den Client, und der durch das Opfer verwendeten Ressource, den Server, und verbirgt sein Tun. Sowohl vor dem Client als auch vor dem Server gibt sich der Angreifer als eigentlicher Kommunikationspartner aus. "Mit den so abgefangenen Informationen können Angreifer verschiedene Aktionen starten: Identitätsdiebstahl ist genauso möglich wie das Fälschen von Transaktionen oder das Stehlen geistigen Eigentums. Eine starke Ende-zu-Ende-Verschlüsselung gehört zu den wirksamsten Mitteln gegen Man-in-the-Middle-Attacken. Denn so liegen Daten auch auf Teilstrecken nie in unverschlüsselter Form vor", so Tulinska.
Glücklicherweise wurden in den letzten Jahren zusätzliche Mechanismen entwickelt, den verschlüsselten Internetverkehr weiter zu stärken, wenngleich sich nicht alle durchgesetzt haben:
HPKP: Doppelte Prüfung
Das HTTP Public Key Pinning wurde als Verfahren eingeführt, um insbesondere MitM-Angriffe zu verhindern. Dem Browser soll mitgeteilt werden, dass ein SSL-Zertifikat aus der Zertifikatskette vertrauenswürdig ist. "Die Erweiterung für das HTTP-Protokoll erlaubt es, Public-Key-Sets für künftige verschlüsselte Verbindungen zu bestimmten Hosts festzulegen. Ein Client, der auf einen Server zugreift, erfährt dadurch erst bei der Kontaktaufnahme, welcher öffentliche Schlüssel des Hosts vertrauenswürdig ist", erklärt Tulinska, kritisiert jedoch, dass das Verfahren nicht den ersten Besuch schützen kann, bei dem es darum geht, die öffentlichen Schlüssel zu übermitteln. "Eine hohe Komplexität bei der Konfiguration, die sogar zur langfristigen Aussperrung von Nutzern führen kann, sowie eine geringe Verbreitung sind weitere Probleme des Verfahrens." Aus diesem Grund hat Google mit der Chrome-Version 72 die Unterstützung für HPKP eingestampft und auch andere modernen Browser unterstützen das Verfahren nicht mehr.
CT: Durch Transparenz zu Sicherheit
Eine weitere Maßnahme, Verschlüsselung sicherer werden zu lassen, stammt von Google selbst und nennt sich Certificate Transparency (CT). Vereinfacht gesagt, sollen damit Zertifikate, die von Certificate Authorities (CAs) ausgestellt wurden, protokolliert, kontrolliert und überwacht werden: Versäumen es Zertifizierungsstellen, Zertifikate gemäß IETF-RFC 6962 auszustellen, zeigt Chrome beim Besuch einer solchen Website eine entsprechende CT-Warnung an. "CT ist vergleichbar mit einem öffentlichen Logbuch, in dem Zertifizierungsstellen ihre Aktivitäten eintragen müssen. Kryptografisch gesichert, lassen sich diese Einträge rückwirkend nicht mehr ändern. So soll es gelingen, missbräuchlicher Verwendung von Zertifikaten auf die Spur zu kommen"; erklärt Patrycja Tulinska.
HSTS: Erweiterung für Pflichtverschlüsselung
Durch die Erweiterung von HTTP um Strict Transport Security, HSTS genannt, sollen Browser für eine bestimmte Zeit ausschließlich auf sichere, also verschlüsselte Verbindungen zugreifen. Damit wird schon zu Beginn einer Verbindung eine HTTPS-Verschlüsselung erzwungen, sodass die Gefahr von MitM-Angriffen sinkt. Tatsächlich konnte sich HSTS etablieren: Neben Facebook nutzen beispielsweise auch Google, Twitter oder PayPal diese Erweiterung.
Allerdings gibt es ein Problem mit dem Datenschutz: Damit sich der Browser des Anwenders merken kann, auf welchen Sites HSTS genutzt wird, werden Einträge, die Cookies ähneln, in Browserdatenbanken gespeichert. Aufgrund der Schutzfunktion von HSTS werden HSTS-Einträge auch im privaten Modus aktiviert, sodass sie von besuchten Sites überprüft werden können. "Genau hier liegt die Gefahr, denn so wird HSTS zu einer effizienten Methode der Nutzerverfolgung. HSTS-Einträge sind somit als sogenannte SuperCookies zu bezeichnen", macht Tulinska aufmerksam, beruhigt aber: "Es gibt Maßnahmen, die das Tracking unterbinden, aber die Schutzwirkung von HSTS nicht herabsetzen." So wurde beispielsweise die HSTS-Implementierung in WebKit, die in Apples Browser Safari zum Einsatz kommt, mit zwei Einschränkungen versehen. WebKit hat den Einsatz von HSTS beschränkt auf den jeweils aktuellen Hostnamen oder auf die Top Level Domain +1, anstatt HSTS auf jede Subdomain einzusetzen: Blockt WebKit bereits Third-Party-Cookies auf Domains, wird auch der HSTS-Zustand von Subressource-Requests ignoriert. (PSW Group: ra)
eingetragen: 03.01.21
Newsletterlauf: 23.03.21
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.