SSL Schwachstelle DROWN – zu viel blindes Vertrauen in SSL/TLS

Kevin Bocek, VP Threat Intelligence and Security Strategy, Venafi

Heartbleed, LogJam, FREAK, Superfish und jetzt DROWN – sie alle bestätigen, dass zu viel blindes Vertrauen herrscht, wenn es um SSL/TLS-Zertifikate und -Schlüssel geht.

Schätzungen zufolge könnte die DROWN-Schwachstelle ein Drittel aller Webserver beeinträchtigen. Und ich habe keine Zweifel, dass wir in Zukunft auf weitere Schwachstellen stoßen werden die in Protokollen, Verschlüsselungen und Zertifikaten lauern. Die Welt funktioniert auf Basis des Vertrauens, das bei der Entstehung des Internets durch digitale Zertifikate und kryptografische Schlüssel geschaffen wurde – auf diese Weise lösten die Architekten des Internets das Problem der Datensicherheit und Authentifizierung.

DROWN ermöglicht einem Angreifer, in weniger als einer Minute Man in the Middle-Angriffe auf die verschlüsselten TLS-Verbindungen auszuführen. Dazu sendet er Probe-Requests an einen Server, der SSLv2 unterstützt und die gleichen privaten Schlüssel verwendet. Schlüssel und Zertifikate sind die Grundlage der Cybersicherheit und schaffen Vertrauen für sichere Datenverarbeitung, Kommunikation und Handel. Ungeschützte Schlüssel und Zertifikate sorgen jedoch für tote Winkel, die Cyberkriminelle nutzen, um sich in verschlüsseltem Traffic zu verstecken, erweiterte Rechte zu erlangen, Malware zu installieren und Daten zu stehlen.

SSL/TLS-Schlüssel und Zertifikate sind zu wichtig, um leichtfertig und im blinden Vertrauen mit ihnen umzugehen. Da immer mehr Seiten SSL/TLS-Schlüssel und -Zertifikate nutzen, wird die Angriffsfläche für Bad Guys immer größer. Das Interesse von beispielsweise Cyber-Kriminellen, verschlüsselten Traffic abzufangen, vertrauenswürdige Seiten zu spoofen oder sich in der Verschlüsselung zu verbergen, ist gerade noch am Wachsen. Mehr Webseiten denn je verwenden Verschlüsselung und Zertifikate, dadurch wird die Angriffsfläche immer größer. Die große Verbreitung von Schwachstellen und Angriffen auf SSL/TLS und Zertifikate haben uns gezeigt, dass dieses Problem so bald nicht aus der Welt geschafft sein wird, und deshalb müssen wir darauf achten, dass wir die Basis des Vertrauens im Internet schützen.

Dem Ponemon Institut zufolge haben in den letzten zwei Jahren 100 Prozent der Unternehmen auf einen Angriff reagiert, bei dem Schlüssel und Zertifikate missbraucht wurden. Und alarmierende 54 Prozent davon wissen nicht, wo sich all ihre Schlüssel und Zertifikate befinden. DROWN vollständig zu beheben, wird also schwierig. Für eine vollständige Behebung muss der entsprechende Patch angewendet werden und auch SSLv2 sollte deaktiviert werden. Doch wie bei Heartbleed ist für eine vollständige Behebung die Erzeugung neuer privater Schlüssel und neuer Zertifikate erforderlich. Hier entsteht also bei Nichtbeachtung ein wahrer Teufelskreis.

Quelle: Kafka Kommunikation GmbH & Co KG