idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
idw - Informationsdienst
Wissenschaft
Sie vertrauen auf das kleine grüne Schloss in der URL-Zeile Ihres Browsers beim Online-Banking? Seien Sie vorsichtig: Bei einem Drittel aller Server weltweit lassen sich der internationale anerkannte Sicherheitsstandard TLS und die verschlüsselte Datenübertragung aushebeln. Betroffen sind alle Formen der Kommunikation im Internet, bei denen sensible Daten im Spiel sind: Online-Banking, Online-Shopping, E-Goverment-Dienste und unsere E-Mail-Kommunikation. Das zeigt eine aktuelle Studie, an der auch das Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum beteiligt ist.
Fataler Fehler führt zu Sicherheitslücken
Das internationale Forscherteam setzte bei seinem kryptographischen Angriff auf einen alten Bekannten: „SSLv2“ ist die als unsicher geltende Vorgängerversion des aktuellen Sicherheitsprotokolls TLS. „SSLv2 schlummert weiterhin auf vielen Servern, auch wenn längst TLS angewendet wird“, sagt Juraj Somorovsky vom Bochumer Horst-Görtz-Institut. Die alte Version sei häufig ersetzt, nicht aber endgültig gelöscht worden. Ein fataler Fehler, wie sich jetzt zeigt: Über dieses Einfallstor lassen sich die TLS-Sicherheitsmechanismen umgehen und damit sind Benutzernamen, Passwörter, Kreditkartenummern oder Finanzdaten schutzlos preisgegeben.
Angriff zum Sparpreis
Die Forscher scannten das gesamte https-Netz und stellten fest, dass von ihrem Angriff weltweit rund 33 Prozent aller Server, also etwa 11,5 Millionen Stück, betroffen sind. Lediglich 440 US-Dollar sind für einen Angriff nötig. Damit konnten die Wissenschaftler Grafikkarten mit schneller Rechenleistung für ihre Probeangriffe in einer AMAZON-Cloud mieten. „Uns ist es sogar in einer zweiten Angriffsvariante wegen eines Implementierungsfehlers gelungen, auf diese zusätzliche Rechenleistung zu verzichten“, berichtet Somorovsky. Die kostenlose Taktik funktioniert immerhin noch bei 26 Prozent aller Server weltweit.
Webseite bietet Tipps zum Schutz
„Vor Angriffen dieser Art kann man sich schützen“, so Somorovsky. Zunächst sollten Webadministratoren das SSLv2-Protokoll auf ihren Servern deaktivieren. Zudem bieten die Wissenschaftler seit dem 1. März 2016 die Webseite www.drownattack.com mit wichtigen Tipps zum Thema an. Dort kann jeder selbst testen, ob seine Webseite sicher ist. Das jetzt entdeckte Sicherheitsproblem resultiert aus einer unrühmlichen Altlast: Der SSLv2-Standard wurde vor zwei Jahrzehnten mit den Kryptographie-Export-Regulationen absichtlich wenig sicher auf den Markt gebracht. „Aus den Fehlern der Vergangenheit müssen wir lernen“, so Somorovsky. „Wir brauchen dringend politisch und wirtschaftlich unabhängige Sicherheitsstandards im Internet!“
Kooperationsprojekt
Im Team arbeiteten in den vergangenen Monaten Juraj Somorovsky, Susanne Engels und Prof. Christof Paar vom Horst-Görtz-Institut der Ruhr-Universität Bochum gemeinsam mit Wissenschafterinnen und Wissenschaftler der Fachhochschule Münster sowie den Universitäten in Tel Aviv, Pennsylvania und Michigan und mit Forschern aus dem Hashcat Projekt und von OpenSSL zusammen. Der mit DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) betitelte Angriff ist auch am 29. April 2016 im Rahmen der RuhrSec Konferenz in Bochum ein zentrales Thema.
Weitere Informationen
Dr. Juraj Somorovsky, Lehrstuhl für Netz- und Datensicherheit, Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum
juraj.somorovsky@rub.de
Meike Klinck, Marketing und Public Relations, Fakultät für Elektrotechnik und Informationstechnik der RUB, Tel.: 0234 32 22720
meike.klinck@rub.de
Text: Meike Klinck
http://aktuell.ruhr-uni-bochum.de/pm2016/pm00024.html.de
Merkmale dieser Pressemitteilung:
Journalisten
Informationstechnik
überregional
Forschungsergebnisse
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
