Image Image Image Image

Was ist diese fatale „FREAK“-Sicherheitslücke?

Was ist diese fatale „FREAK“-Sicherheitslücke?

Es kommt immer heftiger: Sicherheitsexperten haben einen potentiell fatalen Fehler von vor über einer Dekade entdeckt, der Angreifern die Entschlüsselung von HTTPS-geschütztem Datenverkehr im Netz erlaubt. Heartbleed ist es nicht.

Sogar die NSA-Website war anfällig

Der angestaubte Bug betrifft viele millionen Websites wie AmericanExpress, Bloomberg, das FBI und sogar (hier ist das Universum besonders sarkastisch) die offizielle NSA-Seite. Man nennt den Angriff auch FREAK-Attack, was die Kurzform für Factoring attack on RSA-EXPORT Keys darstellt.

Eine Reihe von Exploits mit sämtlichen technischen Details wird von den Forschern verschiedener Institutionen unter anderem hier präsentiert.

Wer ist vom FREAK-Exploit betroffen?

Die Voraussetzung ist ein für das Exploit verwundbarer Besucher mit TLS/SSL oder OpenSSL. Dabei handelt es sich um die Sicherheitsprotokolle, die unsere Daten beispielsweise beim Einloggen in Dienste oder beim Internetshopping schützen.

Ein Opfer nutzt einen der folgenden Webbrowser/Clients beim Aufruf einer HTTPS-verschlüsselten Website, dazu sei gesagt dass nicht alle Versionen verwundbar sind und ein Test nötig wäre:

  • Internet Explorer
  • Chrome auf Mac OS X
  • Chrome auf Android
  • Safari auf Mac OS (Patch in Kürze erwartet)
  • Safari auf iOS (Patch in Kürze erwartet)
  • Android Browser
  • Blackberry Browser
  • Opera auf Mac OS
  • Opera auf Linux

Wenn ihr euer aktuelles Setup auf Verwundbarkeit prüfen wollt, könnt ihr dies mit dem FREAK Client Test Tool erledigen. Verschiedene Embedded-Systeme und andere Softwareprodukte mit TLS-Feature sind auch anfällig, abgesehen von obiger Liste.

So sehen anfällige Browser aus

So sehen anfällige Browser aus

Wieso gibt es diese Sicherheitslücke?

In den 90er Jahren gab es ein Verbot der US-Regierung an Softwareunternehmen, die maximale Verschlüsselungsqualität für Exportprodukte zu verwenden. Die Restriktionen wurden damals tatsächlich angewandt, Kunden aus dem US-Ausland bekamen also schwach verschlüsselte Softwareprodukte aufgrund dieser Regulierung. In anderen Worten: Hier war mal wieder das Spionageinteresse höher als der grundlegende Verstand und die Vernunft für sicheren Datenaustausch im Internet.

Nun wurde dieses Verbot aber vor über 10 Jahren aufgehoben, was die teilweise uninformierte Industrie aber nicht am gewohnten Prozedere hinderte. Besonders amüsant: Die Amis haben ihre schwachen "Export"-Chiffren auch für eigene Software eingesetzt. Dämliche Ideen und Gepflogenheiten verbreiten sich eben manchmal wie ein Virus durch die IT-Branche.

Sicherheitsexperten fanden kürzlich einen Weg (vermutlich war dieser Insidern schon länger bekannt), Browser zur Verwendung der läppischen 512-bit-Verschlüsselung zu zwingen.

In einem so schwach verschlüsselten Austausch ist es natürlich einfach, per Brute-Force an den Inhalt zu kommen. Sieben Stunden dauerte ein Testlauf pro Site (wohlgemerkt nicht mit State-of-the-Art-Maschinerie) um den Verschlüsselungs-Key zu knacken.

Mehr Infos


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home