5. August 2013
Datensicherheit
Datensicherheit: SSL in 30 Sekunden austricksen
- Kabelsalat - Immer ein gutes Symbolbild | Bestimmte Rechte vorbehalten von camknows
Bei ars technica erklärt Autor Dan Godin eine BREACH genannte Technik, die bei der Black Hat Sicherheitskonferenz in Las Vegas vorgestellt wurde. Mit BREACH lassen sich sensible Daten wie Kreditkartendaten oder E-Mailadressen aus SSL-verschlüsselter Kommunikation auslesen.
BREACH greift dabei nicht die SSL-Verschlüsselung direkt an, sondern nutzt einen Effekt aus, der bei der Komprimierung der Webseiten entsteht: Um Bandbreite zu sparen werden Webseiten in der Regel von den Webserver komprimiert. Wenn ein Text mehrfach auf der Seite vorkommt, wird er nur einmal gesendet und dazu vermerkt, wo er jeweils auftaucht. Sendet ein Angreifer einen Text, der in der Seite bereits vorkommt, verändert sich die Größe der gelieferten Seite kaum, weil jetzt nur ein weiterer Verweis gesendet wird. Kam der Text noch nicht vor, wird die gelieferte Seite größer. So kann sich ein Angreifer Buchstabe für Buchstabe an das richtige Ergebnis herantasten. Wenn der Angreifer weiß, was er finden will und einer ausreichend schnellen Leitung, kann das recht zügig gehen.
Kreditkartennummern wären so relativ einfach auszuspähen – allerdings werden die oft ohnehin nicht mehr komplett angezeigt. Stattdessen sehen die Benutzer selbst nur die letzten vier Ziffern. Derartige zusätzliche Sicherheitsmaßnahmen könnten vor BREACH-Angriffen schützen. Um so einen Angriff durchzuführen, müssten die Angreifer ihr Opfer außerdem dazu bringen bestimmte, schädliche Links aufzurufen und den Traffic abfangen können.
Dan Godin meint, diese Technik zeige die Anfälligkeit der zwei Jahrzehnte alten SSL-Technologie. Das Problem sei auch, dass BREACH an der HTTP-Kompression ansetze. Und die sei nicht einfach zu reparieren ohne gleichzeitig Unannehmlichkeiten für Webseitenbetreiber und Benutzer zu bringen. Betroffen von dieser Angriffsmöglichkeit sind im Prinzip alle Seiten, die per HTTPS geschützt sind.
Links
