Suchen

Samstag, 5. März 2016

Fataler Fehler führt zu Sicherheitslücken

Sicherheitsstandard TLS ausgehebelt
Redaktion: Ruhr-Universität Bochum
PRESSEMITTEILUNG
Bochum/gc. Sie vertrauen auf das kleine grüne Schloss in der URL-Zeile Ihres Browsers beim Online-Banking? Seien Sie vorsichtig: Bei einem Drittel aller Server weltweit lassen sich der internationale anerkannte Sicherheitsstandard TLS und die verschlüsselte Datenübertragung aushebeln.


Betroffen sind alle Formen der Kommunikation im Internet, bei denen sensible Daten im Spiel sind: Online-Banking, Online-Shopping, E-Goverment-Dienste und unsere E-Mail-Kommunikation. Das zeigt eine aktuelle Studie, an der auch das Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum beteiligt ist.

Fataler Fehler führt zu Sicherheitslücken
Das internationale Forscherteam setzte bei seinem kryptographischen Angriff auf einen alten Bekannten: „SSLv2“ ist die als unsicher geltende Vorgängerversion des aktuellen Sicherheitsprotokolls TLS. „SSLv2 schlummert weiterhin auf vielen Servern, auch wenn längst TLS angewendet wird“, sagt Juraj Somorovsky vom Bochumer Horst-Görtz-Institut. Die alte Version sei häufig ersetzt, nicht aber endgültig gelöscht worden. Ein fataler Fehler, wie sich jetzt zeigt: Über dieses Einfallstor lassen sich die TLS-Sicherheitsmechanismen umgehen und damit sind Benutzernamen, Passwörter, Kreditkartenummern oder Finanzdaten schutzlos preisgegeben.

Angriff zum Sparpreis
Die Forscher scannten das gesamte https-Netz und stellten fest, dass von ihrem Angriff weltweit rund 33 Prozent aller Server, also etwa 11,5 Millionen Stück, betroffen sind. Lediglich 440 US-Dollar sind für einen Angriff nötig. Damit konnten die Wissenschaftler Grafikkarten mit schneller Rechenleistung für ihre Probeangriffe in einer AMAZON-Cloud mieten. „Uns ist es sogar in einer zweiten Angriffsvariante wegen eines Implementierungsfehlers gelungen, auf diese zusätzliche Rechenleistung zu verzichten“, berichtet Somorovsky. Die kostenlose Taktik funktioniert immerhin noch bei 26 Prozent aller Server weltweit.

Webseite bietet Tipps zum Schutz
„Vor Angriffen dieser Art kann man sich schützen“, so Somorovsky. Zunächst sollten Webadministratoren das SSLv2-Protokoll auf ihren Servern deaktivieren. Zudem bieten die Wissenschaftler seit dem 1. März 2016 die Webseite www.drownattack.com mit wichtigen Tipps zum Thema an. Dort kann jeder selbst testen, ob seine Webseite sicher ist. Das jetzt entdeckte Sicherheitsproblem resultiert aus einer unrühmlichen Altlast: Der SSLv2-Standard wurde vor zwei Jahrzehnten mit den Kryptographie-Export-Regulationen absichtlich wenig sicher auf den Markt gebracht. „Aus den Fehlern der Vergangenheit müssen wir lernen“, so Somorovsky. „Wir brauchen dringend politisch und wirtschaftlich unabhängige Sicherheitsstandards im Internet!“

Kooperationsprojekt
Im Team arbeiteten in den vergangenen Monaten Juraj Somorovsky, Susanne Engels und Prof. Christof Paar vom Horst-Görtz-Institut der Ruhr-Universität Bochum gemeinsam mit Wissenschafterinnen und Wissenschaftler der Fachhochschule Münster sowie den Universitäten in Tel Aviv, Pennsylvania und Michigan und mit Forschern aus dem Hashcat Projekt und von OpenSSL zusammen. Der mit DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) betitelte Angriff ist auch am 29. April 2016 im Rahmen der RuhrSec Konferenz in Bochum ein zentrales Thema.

Weitere Informationen:
Dr. Juraj Somorovsky, Lehrstuhl für Netz- und Datensicherheit, Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum
juraj.somorovsky@rub.de

Meike Klinck (dieser Text), Marketing und Public Relations, Fakultät für Elektrotechnik und Informationstechnik der RUB, Tel.: 0234 32 22720
meike.klinck@rub.de

Aussender:
Ruhr-Universität Bochum
Dezernat Hochschulkommunikation
Universitätsstr. 150
44780 Bochum

Postfach 10 21 48
44780 Bochum

info@ruhr-uni-bochum.de

Dr. Barbara Kruse
Dezernentin Hochschulkommunikation
Tel.: 0234-32 22 133
Fax: 0234-32 14 136
barbara.kruse@presse.ruhr-uni-bochum.de

Meike Drießen
Tel.: 0234-32 26 952
Fax: 0234-32 14 13 6
meike.driessen@presse.rub.de

Jens Wylkop M.A.
Pressereferent
Tel.: 0234-32 28 355
Fax: 0234-32 14 136
jens.wylkop@uv.ruhr-uni-bochum.de
________________________________________________________________________