Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Konsequenzen aus dem SSL-Hack

Die Lage ist ernst, aber nicht außer Kontrolle

Konsequenzen aus dem SSL-Hack

8. Januar 2009, 23:57 Uhr |

Knapp eine Woche ist vergangen seit der Vorstellung eines erfolgreichen Angriffs auf den Internet-Verschlüsselungsstandard SSL. In der Zwischenzeit haben sich sowohl betroffene Provider als auch Browser-Hersteller und IT-Sicherheitsexperten zu dem Angriff geäußert. Fazit: Die Lage ist ernst, aber nicht außer Kontrolle. Das Internet wird jedenfalls nicht untergehen.

Aus Sicht von Security-Experten ging das alte Jahr mit einem Paukenschlag zu Ende: Hacker
demonstrierten live, dass sie sich selbst als CA (Certificate Authority) ausgeben und somit
beliebige SSL-Zertifikate erstellen können (
http://llschnuerer.cmpdm.de//sites/cz/articles/hacker_nutzen_die_md5-kollisionen_aus:/2009003/31783815_ha_CZ.html?thes=">"
Hacker nutzen die MD5-Kollisionen aus"). Kurz darauf hat der SSL-Zertifikatsprimus Verisign
per Blog-Eintrag verkündet, dass keine MD5-signierten SSL-Zertifikate mehr herausgegeben
werden.

Versign stand unter Druck, denn die Hacker beschafften sich ihr CA-Zertifikat über den Provider
RapidSSL, der zu Geotrust gehört, welchen wiederum Platzhirsch Verisign im Jahr 2006 gekauft
hatte.

Mehr zum Thema:

http://llschnuerer.cmpdm.de//sites/cz/articles/hacker_nutzen_die_md5-kollisionen_aus:/2009003/31783815_ha_CZ.html?thes=">Hacker
nutzen MD5-Kollisionen aus

http://llschnuerer.cmpdm.de//articles/security-anbieter_fordert_haertere_strafen_fuer_cyberkriminelle:/2008012/31760770_ha_LL.html?thes=">Security-Anbieter
fordert härtere Strafen für Cyberkriminelle

http://llschnuerer.cmpdm.de//articles/lenovos_laptops_werden_per_killer-sms_deaktiviert:/2008012/31750441_ha_LL.html?thes=">Lenovos
Laptops werden per Killer-SMS deaktiviert

http://llschnuerer.cmpdm.de//articles/experten_mehr_drive-by-downloads_und_datendiebstahl_im_kommenden_jahr:/2008012/31742715_ha_LL.html?thes=">Experten:
Mehr Drive-by-Downloads und Datendiebstahl im kommenden Jahr

http://llschnuerer.cmpdm.de//articles/aufgrund_der_steigenden_cyber-kriminalitaet_verzichtet_jeder_vierte_auf_online-banking:/2008012/31729197_ha_LL.html?thes=">Aufgrund
der steigenden Cyber-Kriminalität verzichtet jeder Vierte auf Online-Banking

Kunden, die ihre bereits von RapidSSL ausgestellten, mit MD5 signierten Zertifikate umtauschen
wollen, können dies kostenfrei tun. Der Angriff richtet sich allerdings nicht gegen bereits aktive
Zertifikate und die damit geschützten Websites, sondern macht es Webnutzern extrem schwer, ein
echtes von einem gefälschten Zertifikat zu unterscheiden. Wie Endanwender mit dem Problem umgehen
sollen, verrät allerdings Verisign nicht.

Folgt man der Zusammenfassung des SANS Internet Storm Center, bleibt Anwendern ohnehin kaum
etwas zu tun: Die SANS-Experten schreiben, dass die Lage zwar insgesamt ernst sei, das Internet
jedoch nicht vor dem Zusammenbruch steht. Zwar gäbe es Schutzmöglichkeiten, wie zum Beispiel all
die Provider aus den Whitelists der Browser zu entfernen, die noch auf MD5 setzen. In der Praxis
ist dies jedoch kaum umsetzbar, da sonst permanent überflüssige Warnmeldungen aufspringen
würden.

Die SANS-Fachleute stellen auch zutreffend fest, dass der Fehler weder im Design von SSL, noch
in den Browsern zu suchen ist: Das Problem ist MD5. Dies hat dann auch das US-Cert dazu veranlasst,
Softwareentwicklern auf den völligen Verzicht des Algorithmus zu raten.

SANS liegt mit seiner Aussage auf einer Linie mit Mozilla und Microsoft. Denn beide
Browser-Hersteller stellen lediglich fest, dass sie keine Updates für ihre Produkte liefern können,
um das Problem zu beheben.

Microsoft liefert immerhin eine längliche Liste mit Tipps, wie Anwender und Administratoren mit
dem Problem umgehen können. So erklären die Redmonder unter anderem, wie Anwender die Details eines
SSL-Zertifikates auf Echtheit prüfen können.

Keinem der Beteiligten – Verisign, Microsoft, Mozilla – sind tatsächliche Angriffe bekannt, die
sich die Schwäche von MD5 zunutze machen. Der Angriff der Hacker hat somit zwar bewiesen, dass dies
nicht nur ein theoretisches Problem ist. Aufgrund der Komplexität der Attacke dürfte es für
Cyberkriminelle zum Glück auch in Zukunft kaum eine Chance geben, die Lücke aktiv auszunutzen. Die
SANS-Experten rechnen daher auch damit, dass Angreifer es weiterhin mit plump gefälschten
Zertifikaten versuchen, auf die Browser sofort mit Warnmeldungen reagieren.

Uli Ries/wg

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
elektrofachkraft.de

elektrofachkraft.de
Panduit

Panduit

Vodia Networks GmbH

Vodia Networks GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Plusnet GmbH

Plusnet GmbH