Nachdem der Heartbleed Bug mit fehlerhaftem Code praktisch alle Server im Internet angreifbar gemacht hat, wurde jetzt ein Fehler im Standardprotokoll SSLv3 gefunden. Durch eine Schwäche im Protokoll können gesicherte Verbindungen teilweise entschlüsselt werden und ermöglicht es dem Angreifer sich in Ihrem Namen im Internet zu bewegen. Das veraltete Protokoll ist heute immer noch aktiv, um Abwärtskompatibilität zu gewährleisten. Zeit sich von alten Zöpfen zu trennen. Wenn der Heartbleed Bug auf einer Skala von 0 bis 10 die höchste Stufe markiert hat, ist der Poodle Angriff bei 5 einzuordnen: es ist nicht die Kern-Architektur des Internets betroffen aber jede verschlüsselte Verbindung kann über eine Manipulation dazu gebracht werden, den unsicheren SSLv3 Modus zu verwenden und ist somit angreifbar.
Welche Daten werden ausgelesen?
Die Zahlenreihenfolge der Sicherheitsstandards ist hier auf den ersten Blick nicht ganz klar. Die Reihenfolge der Standards ist:
- SSL
- SSL 2.0
- SSL 3.0
- TSL
- TSL 1.1
- TSL 1.2
Bei dem Poodle getauften Angriff können nur teilweise Daten ausgelesen werden, aber genug um Ihre Anmeldeinformationen auszulesen. Diese werden in kleinen Infopaketen namens Cookie gespeichert und verschlüsselt mit übertragen. Werden diese Anmeldeinformationen erbeutet, kann der Angreifer in Ihrem Namen surfen. Kann jemand diesen Cookie kopieren, kann er sich in Ihrem Namen auf der Webseite bewegen. Hier besteht also akuter Handlungsbedarf.
Welche Systeme sind betroffen
Praktisch sind alle Systeme betroffen, die eine verschlüsselte Verbindung aufbauen können, da das unsichere SSLv3 Protokoll noch standardmäßig aktiviert ist. Beispiele sind hier Benutzerkonten bei facebook, Google oder eBay.
Manipulation der gesicherten Verbindung über den "Mann in der Mitte"
Bei einem "Man in the middle"-Angriff handelt es sich um eine Manipulation des Datenstroms durch Dritte. Dabei denken viele sicher an aufwändig präparierte Kabel über die dann Verbindungsdaten mitgelesen oder verändert werden können. Praktisch reicht aber auch schon ein Notebook im gleichen WLAN aus um einen "Man in the Middle"-Angriff zu starten, z.B. das der netten Dame am Nachbartisch im Café. Ist die Verbindung erstmal dazu gebracht worden, den alten Standard zu verwenden, können nun die Anmeldeinformationen ausgelesen werden und es kann z.B. fleißig in Ihrem Namen eingekauft werden. Moderne TSL-Verbindung sind gehen solche Angriffe geschützt. Wichtige Informationen sollten in einem WLAN niemals ohne eine TSL Verschlüsselung übertagen werden, da diese von allen Teilnehmern im gleichen WLAN einfach mitgelesen werden können. Achten Sie also stets auf eine gesicherte Verbindung.
Lösung
Die Lösung für das aktuelle Problem hört sich einfach an, ist aber je nach System unterschiedlich kompliziert umzusetzen: die Verwendung des Protokolls SSLv3 einfach abschalten. Für Serversysteme und andere Geräte, wie z.B. die Sophos Security Gateways, muss einiges konfiguriert werden, da die Kompatibilität mit SSLv3 überall standardmäßig aktiviert ist. Hier steht leider nicht ein einfacher Schalter zur Verfügung, sondern man muss sich an die Konfiguration des Basis-Systems heranwagen und die Einstellungen hier von Hand eintragen. Für Kunden mit einem Service-Vertrag nehmen wir diese Einstellungen selbstverständig im Rahmen des Vertrages kostenlos vor.