Aktuell macht ein veraltetes SSL-Protokoll von sich reden, dass längst vergessen sein sollte – das Transportschicht-Sicherheitsprotokoll Secure Sockets Layer (SSLv2). Und mehr als das: Das SSLv2-Protokoll kann auch für aktuelle SSL/TLS-verschlüsselte Verbindungen zu einem echten Sicherheitsrisiko werden, wie die Berichte über die DROWN-Attacke (Decrypting RSA with Obsolete and Weakend eNcryption) in der Fachpresse zeigen. Selbst renommierte Webseiten wie Yahoo, Flickr, Microsoft und viele andere sollen davon betroffen sein. Doch Sie können sich schützen.

Wie ist eine DROWN-Attacke möglich?

Bei einer DROWN-Attacke machen sich die Angreifer die Schwächen des SSLv2-Protokolls zu Nutze, das zwar veraltet bzw. außer Gebrauch ist (obsolute), aber veraltet und außer Gebrauch heißt eben nicht – nicht mehr zugelassen. Und genau das ist das Problem. Wie Forscher herausgefunden haben, wird die veraltete SSL-Variante zwar kaum noch verwendet, viele HTTPS-Server unterstützen aber immer noch das SSLv2-Protokoll und öffnen damit eine Hintertür für DROWN-Attacken. Häufig werden private Schlüssel für HTTPS-Verbindungen aber auch gleich von mehreren Servern verwendet. Sollte nur einer dieser Server SSLv2-Protokolle zulassen, so ist ein potentielles Schlupfloch für eine Attacke gefunden.

Wie funktioniert die DROWN-Attacke?

Angreifer suchen zunächst potentiell anfällige Server, das heißt Server, die das veraltete SSLv2-Protokoll weiterhin zulassen. Haben die Angreifer ein attraktives Angriffsziel gefunden, so schneiden sie zunächst den Traffic, der über die verschlüsselte Verbindung läuft, mit. Wenn dieser Traffic über ein aktuelles Verschlüsselungsprotokoll läuft, ist der Datentransfer für den Angreifer zunächst (noch) nicht lesbar. Nun erfolgt der Angriff auf den Server über SSLv2. Das Ziel der Angreifer besteht darin, den geheimen Pre-Master-Secret-Wert des aktuellen Verschlüsselungsprotokolls zu knacken. Gelingt das, können die Angreifer damit den gesamten zuvor aufgezeichneten Traffic entschlüsseln und auf diese Weise nicht nur Nachrichten lesen, sondern auch sensible Daten wie z.B. Nutzernamen, Passwörter, Kreditkartendaten, Kontoverbindungen etc. abgreifen.

Aktuell sind schätzungsweise bis zu 33% aller HTTPS-Server anfällig gegenüber einer DROWN-Attacke.

Quelle: www.drownattack.com

Wie können Sie sich vor einer DROWN-Attacke schützen?

  1. Checken Sie zunächst, ob Ihre Website anfällig für diese kritische Sicherheitslücke ist

    Auf der Webseite drownattack.com finden Sie einen DROWN-Check, über den Sie ganz einfach Ihre Domain überprüfen können und natürlich auch diejenige Webseite, zu der Sie eine verschlüsselte Verbindung aufbauen möchten.

    Zum DROWN-Attack-Check

    Hinweis:
    Bitte beachten Sie dass bei diesem Check leider auch „False/ Positives“ gibt und teilweise, und wie im Fall von hosteurope.de, Ports aufgelistet werden, die gar keine SSL-Ports sind und daher auch kein Angriffsziel für DROWN-Attacken darstellen. Die Ergebisse sind zudem gespeicherte Daten aus Februar 2016, die durch zwischenzeitliche Updates überholt sein können.
    Es gilt also, jedes Ergebnis einzeln zu prüfen!
    Host Europe hat dies getan: hosteurope.de sowie die Produktverwaltungssysteme von Host Europe sind sicher von DROWN-Attacken geschützt.

  2. Nutzen Sie WebHosting-Produkte, bei denen SSLv2 deaktiviert wurde, wie zum Beispiel die gemanagten Hosting-Produkten von Host Europe

    Host Europe hat bereits 2014 -lange vor dem Auftauchen der ersten DROWN-Attacken – aus Sicherheitsgründen das Transportschicht-Sicherheitsprotokoll Secure Sockets Layer (SSLv2) bei allen gemanagten Hosting-Produkten deaktiviert. Das sind Produkte wie zum Beispiel die WebHosting-Pakete, WebServer, Dedicated WebServer, Online-Shops, Homepage-Baukasten und E-Mail-Produkte. 2015 wurde auch SSLv3 deaktiviert. Aktuell erfolgt die HTTPS-Verschlüsselung bei gemanagten Hosting-Produkten von Host Europe durchgängig auf Basis des TLS-Protokolls.

  3. Verwenden Sie ein selbstadministriertes Serverprodukt wie zum Beispiel einen Virtual Server oder Root Server, so sollten Sie die Anfälligkeit gegenüber DROWN-Attacken unbedingt überprüfen

    Testen Sie, ob SSLv2 auf den Mail- und/oder Webserverdiensten Ihres Servers zugelassen bzw. aktiv ist und passen Sie die Konfiguration Ihres Servers gegebenenfalls an.

Angreifer finden damit keinen Ansatzpunkt für eine DROWN-Attacke.

Auswahl interessanter Fachartikel zum Thema: 

Drown: Forscher warnen vor weit verbreiteter HTTPS-Sicherheitslücke

DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis

Weitere Informationen und Sicherheitstipps zu Drown Attacken finden Sie unter drownattack.com


Sie haben Fragen oder Tipps zum Schutz vor DROWN-Attacken? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.

Bildnachweis: Fotolia, Lizenz: Host Europe

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

2 thoughts on “Vorsicht DROWN-Attacke! – So checken Sie HTTPS-Sicherheitslücken

  1. Hallo,
    eine Frage, wir benuzten überhaupt keine (ssl-)Verschlusselung keine https und haben keine ssl-zertifikate. Mussen wir trotz dem gegen Drown-Attack reagieren?

    • Hallo,
      nein, der Datentransfer erfolgt in diesem Fall ohnehin unverschlüsselt. Er kann allerdings potenziell mitgelesen werden. Wenn auf diesem Weg sensible Daten wie zum Beispiel Login-Daten, Passworte, Bankverbindungen oder ähnliches übertragen werden, sollten Sie diese Daten zu Ihrer Sicherheit bzw. der Sicherheit von Kunden verschlüsseln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.