Sicherheitsstandard TLS ausgehebelt

RUB » Dezernat Hochschulkommunikation » Presseinformationen » Kategorie Allgemeines » Presseinformation 24
Nummer 24 - Bochum, 03.03.2016

Sicherheitsstandard TLS ausgehebelt

Ein Drittel aller Webserver weltweit betroffen

IT-Sicherheitsforscher der RUB an DROWN-Angriff beteiligt

Bei einem Drittel aller Server lassen sich der Sicherheitsstandard TLS und die verschlüsselte Datenübertragung aushebeln. Betroffen sind alle Formen der Kommunikation im Internet, bei denen sensible Daten im Spiel sind.

Fataler Fehler führt zu Sicherheitslücken

Ein internationales Forscherteam, an dem auch Wissenschaftler des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum beteiligt sind, setzte bei seinem kryptographischen Angriff auf einen alten Bekannten: „SSLv2“ ist die als unsicher geltende Vorgängerversion des aktuellen Sicherheitsprotokolls TLS. „SSLv2 schlummert weiterhin auf vielen Servern, auch wenn längst TLS angewendet wird“, sagt Juraj Somorovsky vom Bochumer Horst-Görtz-Institut. Die alte Version sei häufig ersetzt, nicht aber endgültig gelöscht worden. Ein fataler Fehler, wie sich jetzt zeigt: Über dieses Einfallstor lassen sich die TLS-Sicherheitsmechanismen umgehen und damit sind Benutzernamen, Passwörter, Kreditkartenummern oder Finanzdaten schutzlos preisgegeben.

Angriff zum Sparpreis

Die Forscher scannten das gesamte https-Netz und stellten fest, dass von ihrem Angriff rund 33 Prozent aller Server weltweit, also etwa 11,5 Millionen Stück, betroffen sind. Lediglich 440 US-Dollar sind für einen Angriff nötig. Damit konnten die Wissenschaftler Grafikkarten mit schneller Rechenleistung für ihre Probeangriffe in einer AMAZON-Cloud mieten. „Uns ist es sogar in einer zweiten Angriffsvariante wegen eines Implementierungsfehlers gelungen, auf diese zusätzliche Rechenleistung zu verzichten“, berichtet Somorovsky. Die kostenlose Taktik funktioniert immerhin noch bei 26 Prozent aller Server weltweit.

Webseite bietet Tipps zum Schutz

„Vor Angriffen dieser Art kann man sich schützen“, so Somorovsky. Zunächst sollten Webadministratoren das SSLv2-Protokoll auf ihren Servern deaktivieren. Zudem bieten die Wissenschaftler seit dem 1. März 2016 die Webseite www.drownattack.com mit wichtigen Tipps zum Thema an. Dort kann jeder selbst testen, ob seine Webseite sicher ist. Das jetzt entdeckte Sicherheitsproblem resultiert aus einer unrühmlichen Altlast: Der SSLv2-Standard wurde vor zwei Jahrzehnten mit den Kryptographie-Export-Regulationen absichtlich wenig sicher auf den Markt gebracht. „Aus den Fehlern der Vergangenheit müssen wir lernen“, so Somorovsky. „Wir brauchen dringend politisch und wirtschaftlich unabhängige Sicherheitsstandards im Internet!“

Kooperationsprojekt

Im Team arbeiteten in den vergangenen Monaten Juraj Somorovsky, Susanne Engels und Prof. Christof Paar vom Horst-Görtz-Institut der Ruhr-Universität Bochum gemeinsam mit Wissenschafterinnen und Wissenschaftler der Fachhochschule Münster sowie den Universitäten in Tel Aviv, Pennsylvania und Michigan und mit Forschern aus dem Hashcat Projekt und von OpenSSL zusammen. Der mit DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) betitelte Angriff ist auch am 29. April 2016 im Rahmen der RuhrSec Konferenz in Bochum ein zentrales Thema.

Redaktion

Meike Klinck
Dezernat Hochschulkommunikation

Weitere Informationen

Dr. Juraj Somorovsky, Lehrstuhl für Netz- und Datensicherheit, Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum
juraj.somorovsky@rub.de

Meike Klinck, Marketing und Public Relations, Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum, Tel.: 0234 32 22720
meike.klinck@rub.de

 

Angeklickt