Aktuell macht ein veraltetes SSL-Protokoll von sich reden, dass längst vergessen sein sollte – das Transportschicht-Sicherheitsprotokoll Secure Sockets Layer (SSLv2). Und mehr als das: Das SSLv2-Protokoll kann auch für aktuelle SSL/TLS-verschlüsselte Verbindungen zu einem echten Sicherheitsrisiko werden, wie die Berichte über die DROWN-Attacke (Decrypting RSA with Obsolete and Weakend eNcryption) in der Fachpresse zeigen. Selbst renommierte Webseiten wie Yahoo, Flickr, Microsoft und viele andere sollen davon betroffen sein. Doch Sie können sich schützen.
Wie ist eine DROWN-Attacke möglich?
Bei einer DROWN-Attacke machen sich die Angreifer die Schwächen des SSLv2-Protokolls zu Nutze, das zwar veraltet bzw. außer Gebrauch ist (obsolute), aber veraltet und außer Gebrauch heißt eben nicht – nicht mehr zugelassen. Und genau das ist das Problem. Wie Forscher herausgefunden haben, wird die veraltete SSL-Variante zwar kaum noch verwendet, viele HTTPS-Server unterstützen aber immer noch das SSLv2-Protokoll und öffnen damit eine Hintertür für DROWN-Attacken. Häufig werden private Schlüssel für HTTPS-Verbindungen aber auch gleich von mehreren Servern verwendet. Sollte nur einer dieser Server SSLv2-Protokolle zulassen, so ist ein potentielles Schlupfloch für eine Attacke gefunden.
Wie funktioniert die DROWN-Attacke?
Angreifer suchen zunächst potentiell anfällige Server, das heißt Server, die das veraltete SSLv2-Protokoll weiterhin zulassen. Haben die Angreifer ein attraktives Angriffsziel gefunden, so schneiden sie zunächst den Traffic, der über die verschlüsselte Verbindung läuft, mit. Wenn dieser Traffic über ein aktuelles Verschlüsselungsprotokoll läuft, ist der Datentransfer für den Angreifer zunächst (noch) nicht lesbar. Nun erfolgt der Angriff auf den Server über SSLv2. Das Ziel der Angreifer besteht darin, den geheimen Pre-Master-Secret-Wert des aktuellen Verschlüsselungsprotokolls zu knacken. Gelingt das, können die Angreifer damit den gesamten zuvor aufgezeichneten Traffic entschlüsseln und auf diese Weise nicht nur Nachrichten lesen, sondern auch sensible Daten wie z.B. Nutzernamen, Passwörter, Kreditkartendaten, Kontoverbindungen etc. abgreifen.
Aktuell sind schätzungsweise bis zu 33% aller HTTPS-Server anfällig gegenüber einer DROWN-Attacke.
Quelle: www.drownattack.com
Wie können Sie sich vor einer DROWN-Attacke schützen?
- Checken Sie zunächst, ob Ihre Website anfällig für diese kritische Sicherheitslücke ist
Auf der Webseite drownattack.com finden Sie einen DROWN-Check, über den Sie ganz einfach Ihre Domain überprüfen können und natürlich auch diejenige Webseite, zu der Sie eine verschlüsselte Verbindung aufbauen möchten.
Hinweis:
Bitte beachten Sie dass bei diesem Check leider auch „False/ Positives“ gibt und teilweise, und wie im Fall von hosteurope.de, Ports aufgelistet werden, die gar keine SSL-Ports sind und daher auch kein Angriffsziel für DROWN-Attacken darstellen. Die Ergebisse sind zudem gespeicherte Daten aus Februar 2016, die durch zwischenzeitliche Updates überholt sein können.
Es gilt also, jedes Ergebnis einzeln zu prüfen!
Host Europe hat dies getan: hosteurope.de sowie die Produktverwaltungssysteme von Host Europe sind sicher von DROWN-Attacken geschützt. - Nutzen Sie WebHosting-Produkte, bei denen SSLv2 deaktiviert wurde, wie zum Beispiel die gemanagten Hosting-Produkten von Host Europe
Host Europe hat bereits 2014 -lange vor dem Auftauchen der ersten DROWN-Attacken – aus Sicherheitsgründen das Transportschicht-Sicherheitsprotokoll Secure Sockets Layer (SSLv2) bei allen gemanagten Hosting-Produkten deaktiviert. Das sind Produkte wie zum Beispiel die WebHosting-Pakete, WebServer, Dedicated WebServer, Online-Shops, Homepage-Baukasten und E-Mail-Produkte. 2015 wurde auch SSLv3 deaktiviert. Aktuell erfolgt die HTTPS-Verschlüsselung bei gemanagten Hosting-Produkten von Host Europe durchgängig auf Basis des TLS-Protokolls.
- Verwenden Sie ein selbstadministriertes Serverprodukt wie zum Beispiel einen Virtual Server oder Root Server, so sollten Sie die Anfälligkeit gegenüber DROWN-Attacken unbedingt überprüfen
Testen Sie, ob SSLv2 auf den Mail- und/oder Webserverdiensten Ihres Servers zugelassen bzw. aktiv ist und passen Sie die Konfiguration Ihres Servers gegebenenfalls an.
Angreifer finden damit keinen Ansatzpunkt für eine DROWN-Attacke.
Auswahl interessanter Fachartikel zum Thema:
Drown: Forscher warnen vor weit verbreiteter HTTPS-Sicherheitslücke
DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis
Weitere Informationen und Sicherheitstipps zu Drown Attacken finden Sie unter drownattack.com
Sie haben Fragen oder Tipps zum Schutz vor DROWN-Attacken? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.
Bildnachweis: Fotolia, Lizenz: Host Europe
- Website erstellen? Wie geht das und was braucht man dafür? - 8. September 2023
- 10 Tipps, wie Sie mit Content Marketing Ihr Business voran bringen - 17. August 2023
- Favicon in Website einbinden: So erscheint Ihr Logo in der Browser-Adresszeile - 29. Juni 2023