Das ganz normale Chaos, täglich frisch auf den Tisch. Direkt aus der hintersten Provinz in die Metropolen von Groß-Blogistan.


TLS 1.0 geknackt

Mon, 26 Sep 2011 10:11:41 +0200

Heute habe ich vom Bürger-CERT folgende Nachricht erhalten:

Angriffsmethode auf SSL-/TLS-Verbindungen veröffentlicht

Risiko: Mittel

Betroffene Systeme:

Alle Browser mit der TLS 1.0 Verschlüsselungsprotokoll-Implementierung

Empfehlung:

Kurzfristig ist mit Workaround-Patches der Browserfamilien zu rechnen, die die Wahrscheinlichkeit eines erfolgreichen Angriffs z.B. durch Padding mit zufälligen Zeichen verringern.

Bis dahin können Anwender mit einigen Maßnahmen die Wahrscheinlichkeit eines erfolgreichen Angriffs zwar nicht ausschließen, aber zumindest reduzieren.

Als Verteidigung gegen das Einschleusen fremden Codes in eine Verbindung empfehlen sich die folgenden Maßnahmen:

  • HTTPS-Verbindungen sollten mit einem frisch gestarteten Browser durchgeführt werden
  • Das Öffnen von anderen Webseiten (z.B. durch Tabs oder parallele Fenster) sollte während schützenswerter Sitzungen vermieden werden.
  • SSL-Verbindungen sollten möglichst kurz gehalten werden und aktiv durch Ausloggen aus der Webanwendung und anschließendes Schlie en des Browsers beendet werden.
  • Da nach bisherigem Kenntnisstand die aufwendigen Berechnungen des Angriffs Java benötigen (nicht zu verwechseln mit JavaScript), sollten Java-Plugins im Browser deaktiviert werden.

Die Schwachstelle ist zwar in den TLS-Versionen 1.1 und 1.2 nicht mehr vorhanden, diese werden aber bisher von so gut wie keinem Browser unterstützt. Darüber hinaus muessen auch die Webserver-Hersteller erst diese Version kompatibel zu den Browsern entwickeln und aktivieren.

Beschreibung:

Durch eine Schwachstelle in der Verschlüsselungsprotokoll-Implementierung TLS 1.0 ist es entfernten Angreifern moeglich, eine per HTTPS verschlüsselte Browsersitzung zu übernehmen [1]. Beispiele fuer solche verschlüsselten Online-Sitzungen sind z. B. Online-Banking, Nutzung von webbasierten E-Mail-Diensten, soziale Netzwerke, Zahlvorgänge in Online-Shops etc.

Eine Ausnutzung der Schwachstelle ermöglicht den Diebstahl von sogenannten SSL-Session-Cookies. Dadurch kann der Angreifer im Kontext des angemeldeten Benutzers Aktionen innerhalb der entsprechenden Webanwendung ausfuehren.

Voraussetzung fuer die Durchführung des Angriffs ist ein vorgelagerter Man-in-the-Middle-Angriff, wie er z. B. in offenen WLANs oder fuer Angreifer im selben Netz möglich ist.

Nach derzeitigem Kenntnisstand sind von der SSL-/TLS-Schwachstelle sämtliche Browser betroffen.

Noch habe ich das online-banking nicht aktiviert. Und in den sozialen Netzwerken (Facebook und Co.) bin ich nicht Mitglied. Aber es ist wichtig, zu wissen, dass derzeit auch verschlüsselte Verbindungen nicht sicher sind. Erst mal abwarten, bis die Lücke wieder geschlossen ist. Vorher mache ich Nix mit online-banking.


0 Kommentare