Einmal mehr wird verschlüsselten Datenverbindungen eine Altlast zum Verhängnis. Über die DROWN-Attacke ("Decrypting RSA with Obsolete and Weakend eNcryption") können die Verbindungen zu rund einem Drittel sämtlicher Server nachträglich entschlüsselt werden, warnen Sicherheitsforscher.

Angriff

Der entscheidende Fehler ist, dass noch immer überraschend viele Server das veraltete SSLv2-Protokoll unterstützen. Ist dies der Fall können selbst mit dem aktuellen TLS 1.2 verschlüsselte Datenverbindungen geknackt werden. Bei einem solchen Angriff wird zuerst der TLS-Datenverkehr aufgezeichnet. Erst danach folgt eine Attacke mittels SSLv2, über die das sogenannte Pre-Master-Secret der TLS-Verbindung ausgelesen wird. Mit dessen Hilfe kann dann die verschlüsselte Verbindung in Klartext verwandelt werden.

Berechnung

Der Vorgang des Entschlüsselns selbst braucht allerdings noch einiges an Rechenaufwand, was zwar gegen Massenangriffe hilft, eine gezielte Attacke aber kaum verhindern wird. Die Forscher rechnen vor, dass die betreffenden Berechnungen mit einer Amazon-EC2-Instanz in rund acht Stunden erledigt sind, der Preis würde sich auf rund 440 US-Dollar belaufen. Staatlichen Angreifern sollten diese Rechenressourcen aber ohnehin selbst zur Verfügung stehen.

OpenSSL "hilft"

Noch einfacher wird es zudem, wenn der Server auf einer veralteten Version von OpenSSL läuft. Hier können sich Angreifer einen Bug zunutze machen, der dazu führt, dass die verschlüsselten Verbindungen selbst auf einem herkömmlichen PC in einer Stunde geknackt werden können.

Ewig mitgeschleppt

Die größte Überraschung an DROWN ist weniger, dass ein solcher Angriff überhaupt funktioniert, immerhin ist SSLv2 seit gut zwei Jahrzehnten als unsicher bekannt. Verblüffend ist hingegen, wie viele Server diese Protokollversion noch immer unterstützen. Immerhin gibt es mittlerweile praktisch keine Browser mehr, die überhaupt noch per SSLv2 kommunizieren können. Der letzte, der noch eine gewisse Verbreitung hat, und das alte Protokoll versteht, ist der Internet Explorer 6 unter Windows XP – aber selbst dieser kennt sicherere Verschlüsselungsarten.

Yahoo wieder mit dabei

Besonders unerfreulich: In der Liste der für den Angriff verwundbaren Server finden sich einige durchaus prominente Namen. Allen voran Yahoo – und damit immerhin die fünftgrößte Webseite der Welt. Aber auch einige chinesische Größen wie Sina, Weibo und Alibaba sowie der File Hoster Mediafire sind für DROWN-Angriffe anfällig.

Wiederverwendung

Ein weiterer Faktor für die hohe Zahl an anfälligen Server ist die Wiederverwendung von Schlüsseln. Denn eigentlich sind nur 17 Prozent aller Webserver selbst von dem Problem betroffen, allerdings kann ein Angreifer den notwendigen Schlüssel auch bei anderen Kommunikationsprotokollen – etwa E-Mail – abfangen, und dann für eine Attacke gegen Webverbindungen nutzen.

Tipps

Die Forscher raten dringend jegliche Nutzung von SSLv2 auf betroffenen Servern abzustellen. OpenSSL hat mittlerweile ein Update veröffentlicht, das SSLv2 vollkommen deaktiviert, weitere Hinweise wurden in einem eigenen Blog-Eintrag veröffentlicht. Bei Microsofts IIS sollte SSLv2 eigentlich bereits ab der Version 7.0 von Haus aus deaktiviert sein. Für Nutzer besteht kein Handlungsbedarf, da es sich hier um einen reinen Angriff gegen veraltete Server handelt. (Andreas Proschofsky, 2.3.2016)