Schutz vor Man-in-the-Middle-Angriffen

Praxistipp: Wie man sich vor Man-in-the-Middle-Angriffen schützt

6. März 2009, 13:51 Uhr | Bernd Reder

Fortsetzung des Artikels von Teil 1

Hintergrundinformationen zum Angriff auf SSL-Verbindungen

Das Tool "sslstrip" fängt https-Verkehr ab und lenkt ihn zu einer http-URL um.
Das Tool "sslstrip" fängt https-Verkehr ab und lenkt ihn zu einer http-URL um.
Verwendet ein Unternehmen oder eine Organisation EV-SSL-Zertifikate,färbt sich die Adressleiste des Browsers grün ein, wenn eine Verbindungaufgebaut wird.
Verwendet ein Unternehmen oder eine Organisation EV-SSL-Zertifikate,färbt sich die Adressleiste des Browsers grün ein, wenn eine Verbindungaufgebaut wird.

Bei dem Verfahren, das Moxie Marlinspike nutzte, handelt es sich um eine Mischung aus IT-Technik und »Social Engineering«. Der Sicherheitsexperte nutze eine selbst fabrizierte Proxy-Software namens »sslstrip«, um sichere https-Verbindungen auf ungesicherte http-Web-Seiten »umzupolen«.

Dabei machte sich Marlinspike zunutze, dass viele Internet-User nicht darauf achten, ob eine Web-Adresse mit einem »http« oder »https« beginnt. Bei der Demonstration auf der Black-Hat-Konferenz merkten etliche Web-Nutzer nicht, dass sie statt auf »https://www.meinebank.com/« auf »http://www.meinebank.com« landeten.

Mittlerweile ist eine Diskussion darüber ausgebrochen, ob EV-SSL-Zertifikate Man-in-the-Middle-Angriffe tatsächlich verhindern können. Rein technisch gesehen, lautet die Antwort »ja«.

Allerdings setzen Cyber-Gangster immer stärker auf den Faktor »Mensch«. Viele Internet-Nutzer können nichts mit Browser-Adressleisten anfangen, die sich grün einfärben, wie etwa beim IE 7 oder bei Firefox 3.x. Den wenigsten dürfte bekannt sein, dass dann eine sichere Verbindung zu einem Web-Server besteht.

Hinzu kommt, dass etliche Browser auf unterschiedlich Weise anzeigen, dass eine sichere Verbindung mittels SSL aufgebaut wurde. Einige platzierten ein Schloss-Symbols vor die URL, andere färben das Adressfeld gelb oder rot ein. Selbst unterschiedliche Versionen desselben Browsers verwenden kein einheitliches Verfahren, etwa Firefox 2 und 3.

Fachleute fordern deshalb, dass sich die Browser-Anbieter auf ein Standardverfahren einigen sollten, das SSL-Connections für den Nutzer sichtbar macht. Ein weiterer Vorschlag: Banken, staatliche Einrichtungen und Online-Shops sollten generell dazu übergehen, generell https statt http zu verwenden. Eine Mixtur beider Techniken, die heute noch häufig anzutreffen ist, sei nicht akzeptabel. Sie würde Nutzer verwirren und Sicherheitsprobleme geradezu provozieren.

Moxie Marlinspike bietet sslstrip übrigens auf seiner Web-Seite Thoughtcrime zum Herunterladen an. Dort steht auch der Vortrag des Fachmanns auf der Black-Hat-Konferenz zur Verfügung.


  1. Praxistipp: Wie man sich vor Man-in-the-Middle-Angriffen schützt
  2. Hintergrundinformationen zum Angriff auf SSL-Verbindungen

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+