Drucksache: IT Administrator 1.16 - MitM-Angriffe auf HTTPS
Im IT-Administrator Januar 2016 ist ein Artikel über Angriffe auf HTTPS-Verbindungen erschienen.
HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich der Angreifer nicht in die geschützte Verbindung zwischen Client und Server drängeln kann. Was einem MitM, der bereits in der Internetverbindung sitzt, mit dem richtigen Werkzeug leicht fällt.
Wie der Angreifer in ihre Verbindung kommt, ist dabei nebensächlich. Das könnte zum Beispiel eine staatliche Stelle sein, die sich bei Ihrem ISP in die Leitung einklinkt, ein Cyberkrimineller, der Ihren Router kompromittiert hat, oder ein bösartiger Access Point (Rogue Access Point), den Sie auf einer Konferenz nutzen.
Für alle im Artikel vorgestellten Angriffe gibt es wirksame Gegenmaßnahmen. Sie müssen also nicht zwangsläufig zum Opfer eines Angriffs werden.
Das größte Problem ist und bleibt das bestehende Zertifizierungssystem. Die Browser und Betriebssysteme vertrauen von Haus aus sehr vielen CAs. Stellt eine dieser CAs Zertifikate aus, ohne dazu autorisiert zu sein, so werden die vom Browser natürlich trotzdem als gültig akzeptiert. Was in der Vergangenheit schon des öfteren passiert ist. Einige Beispiele dafür hatte ich bereits hier im Blog. Hier gibt es einen kleinen Überblick darüber.
Diese Angriff werden durch Public Key Pinning oder Certificate Pinning deutlich erschwert. Google hat damit schon mehrmals fälschlich ausgestellte Zertifikate für Google-Domains aufgedeckt, zum Beispiel 2013, 2014 und 2015. Leider zeigen diese (willkürlich ausgewählten!) Beispiele nicht nur, dass die Erkennung unberechtigt ausgestellter Zertifikate (zumindest im Fall von Google) funktioniert, sondern auch, dass sie dringend nötig ist. Denn unerkannt hätten diese Zertifikate für MitM-Angriffe auf Google-Nutzer verwendet werden können.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Perfect Forward Secrecy: Heute aufgezeichnet – morgen entschlüsselt?"
- [2] OWASP: "Certificate and Public Key Pinning"
- [3] Elia Florio: "EMET 4.0's Certificate Trust Feature"
- [4] RFC 7469: Public Key Pinning Extension for HTTP
- [5] OWASP: "HTTP Strict Transport Security"
- [6] Moxie Marlinspike: sslstrip
- [7] Richard Barnes: "PSA: In Firefox 44 Nightly"
- [8] RFC 6797: HTTP Strict Transport Security (HSTS)
- [9] Carsten Eilers: "Angriff und Abwehr des CookieMonster"
- [10] Carsten Eilers: "Firesheep fängt ungeschützte Cookies"
- [11] RFC 7465: Prohibiting RC4 Cipher Suites
Trackbacks