26.11.2014 10:36

Auf Beast folgt Poodle

Es geht mal wieder ein Angriff auf SSL um: Diesmal erwischt es SSLv3, der Angriff selber läuft ähnlich wie Beast oder Crime: Javascript im Browser löst viele, clever konstruierte Requests auf eine Webseite aus, in die der User eingeloggt ist. Das erlaubt es jemanden, der am Kabel mitlauscht, den Klartext von konstanten HTTP-Headern zu ermitteln.

Das Angriffsziel ist auch hier wieder das Session-Cookie für eine aktive Session des Browsers bei einer anderen Webseite.

Technisch gesehen handelt es sich um einen Designfehler von SSLv3 in bei der Verwendung von CBC-Mode mit dem dort nötigen Padding.

Was hat das für Auswirkungen?

SSLv3 ist alt. Sehr alt. Nur noch ein kleiner Bruchteil (0,3%) der verschlüsselten Kommunikation im Web verwendet SSLv3. Aber: ein Angreifer am Kabel kann den Aufbau einer TLS-Verschlüsselung so stören, dass viele Browser auf SSLv3 zurückfallen. Damit sind deutlich mehr Verbindungen angreifbar, als die aktuelle Rate an SSLv3-Verbindungen vermuten lässt.

Der Angriff ist auch nicht wirklich massentauglich. Er braucht einen man-in-the middle, was beim typischen Websurfen zuhause (DSL, Kabel, 3G) oder in der Firma (hoffentlich kein Angreifer im Netz) nicht leicht der Fall ist. Heikler sind offene WLANs oder andere nicht vertrauenswürdige Zugangsnetze.

Was soll man tun?

  • Don't Panic!
  • SSLv3 hat im aktuellen Web nichts mehr verloren und sollte verschwinden. Das sagt sich leicht, und ist auch in vielen Fällen problemlos machbar. Chrome und Firefox werden demnächst per Default SSLv3 abdrehen, in den meisten Browsern lässt sich der SSLv3 Support abschalten.

    Ja, es mag hier und da noch einzelne Legacy-Webserver geben, die kein TLS können, aber der geballte Druck durch Chrome und Firefox wird diese schnell zum Upgrade treiben. Ich sehe Probleme vor allem bei ausgefallenen Browsern: Alte Tablets/Smartphones, Smart-TVs, Medienboxen, Appliances, ...

  • Serverseitig kann man SSLv3 auch abdrehen, hier gibt es im Wesentlichen nur folgendes zu berücksichtigen: Internet Explorer 6 unter Windows XP kann nicht mehr. Da aber das seit 8 Monaten eine von Microsoft nicht mehr betreute Plattform ist, ist mein persönliches Verständnis für diese User nur noch marginal. (Wenn schon XP, dann bitte wenigstens einen Browser, für den es noch Updates gibt!)

    Es wird stark drauf ankommen, um welche Webseite es geht: Kann man es sich leisten, einen kleinen Anteil an Usern mit obsoleten Browsern auszuschließen? Wie stark wiegt das gegen einen Sicherheitsgewinn für die Mehrzahl der Besucher? Diese Abwägung ist nicht neu, siehe dazu die Diskussion auf www.bettercrypto.org.

  • Generischer Schutz gegen Downgrade-Angriffe: Google standardisiert gerade in der IETF mit SCSV einen allgemeinen Schutz gegen Manipulationen im TLS-Handshake. Das hilft hier (so der Software-Support dafür da ist), aber vor allem vor zukünftige, ähnliche Angriffe. Man sollte also SCSV aktivieren, sobald Support dafür in der Server- oder Clientsoftware verfügbar wird.

Links:

Autor: Otmar Lendl