Login
Newsletter
Werbung

Mi, 4. März 2015, 13:59

Software::Security

FREAK: Erneute Sicherheitslücke in SSL

Kryptografieforscher haben gravierende Fehler in verschiedenen SSL/TLS-Implementationen entdeckt. Das FREAK genannte Problem kann Server dazu bringen, schwache Schlüssel zu verwenden, die geknackt werden können. In OpenSSL wurde das Problem im Januar behoben, Safari und der Android-Browser sind jedoch noch gefährdet.

Da eine Sicherheitslücke ohne eigenen Namen heutzutage nichts taugt, haben die Entdecker die Lücke »FREAK« genannt. Ihren Ursprung hat die Lücke in den Exportgesetzen der USA aus den 1980er-Jahren, in denen es verboten war, starke Verschlüsselung zu exportieren. Nur DES-Schlüssel mit 40 Bit und RSA bis zu 512 Bit waren erlaubt. Solche Schlüssel sind heute in einer Cloud in unter acht Stunden und mit geringen Kosten zu brechen.

Eigentlich verwenden Server und Browser solche Schlüssel heute nicht mehr, doch die entsprechenden Algorithmen sind in einigen Implementationen immer noch vorhanden, auch wenn sie standardmäßig inaktiv bleiben. Wie jetzt aber ein Team von Kryptografieforschern herausfand, lassen sich manche Server dazu bringen, schwache Schlüssel zu erzeugen und über längere Zeiträume zu verwenden. Werden diese Schlüssel im Anschluss gebrochen, lassen sich sogenannte Man in the Middle-Angriffe ausführen. Benutzer werden von dem Server, den sie eigentlich besuchen wollten, auf einen anderen manipulierten Server umgeleitet, und da dieser über den geheimen Schlüssel des Original-Servers verfügt, merken die Benutzer nichts davon. Dadurch lässt sich beliebiger Code, beispielsweise JavaScript, auf den Rechner des Benutzers bringen und dort ausführen.

Die ursprüngliche Untersuchung der Kryptografieforscher widmete sich dem Zustandsautomaten von TLS. Durch Senden von nicht protokollgemäßen Nachrichten konnten die Forscher die Zustandsautomaten vieler SSL/TLS-Implementationen durcheinanderbringen und zahlreiche Fehler aufzeigen, die als SMACK (State Machine Attack) bezeichnet wurden. FREAK (Factoring RSA Export Keys) ist einer davon.

Bis zu einem Drittel aller Server im Internet sind zur Zeit anfällig für FREAK, darunter viele große Webseiten, das Content-Verteilungsnetzwerk von Akamai und selbst die Präsenzen von NSA und FBI. Akamai und andere haben bereits Maßnahmen zur Abhilfe in die Wege geleitet. Betroffen sind auch Apples Webbrowser Safari und der Android-Webbrowser. Android-Anwender sollten auf Chrome umstellen, um die Gefahr zu minimieren. Versionen von OpenSSL bis 1.0.1j sind verwundbar. Die Lücke wurde mit OpenSSL 1.0.1k im Januar geschlossen. Ebenfalls im Januar wurde das Problem in Java behoben. Damit wurde das Risiko für die Anwender bereits reduziert. Hilfe für Systemadministratoren und Anwender, die ihre Systeme prüfen wollen, bietet die Seite freakattack.com. Matthew Green, der die Publikation von FREAK koordinierte, hat Hintergrundinformationen dazu veröffentlicht.

Werbung
Kommentare (Insgesamt: 8 || Alle anzeigen )
Re: Tja.... (RipClaw, Do, 5. März 2015)
Re: Tja.... (RipClaw, Do, 5. März 2015)
Tja.... (Anonymous, Do, 5. März 2015)
Re: Reale Gefahr? (Anonymous, Do, 5. März 2015)
Re[2]: Android: statt Chrome Firefox (Leon, Mi, 4. März 2015)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung