BREACH-Angriffe erkennen: Wie Sie HTTPS Traffic Exploits verhindern

BREACH-Angriffe sind eine potentielle Gefahr für HTTPS via SSL/TLS. Es gibt allerdings Maßnahmen, wie Unternehmen das Risiko mindern können.

Kryptografie war auch vor Edward Snowdens Enthüllungen, wie die NSA Verschlüsselung untergräbt, Gegenstand kontroverser...

Diskussionen. Auf der ekoparty Security-Konferenz im Jahr 2012 haben Thai Duong und Juliano Rizzo eine Angriffs-Methode mit Namen CRIME erörtert. Diese wirkt sich aber nicht nennenswert auf die Security hinsichtlich SSL (Secure Sockets Layer) und TLS (Transport Layer Security) aus. Yoel Gluck, Neal Harris und Angelo Prado haben SSL- und TLS-Kryptografie weiter unter die Lupe genommen. Auf der Black Hat 2013 enthüllten sie eine neue Bedrohung: Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext – kurz: BREACH-Angriff. Diese Technik könnte sich wesentlich schwerwiegender auf SSL/TLS als CRIME auswirken.

In diesem Beitrag erklären wir, was sich genau hinter dem BREACH-Angriff verbirgt und wie er funktioniert. Weiterhin verraten wir, was Firmen für Schutzmaßnahmen ergreifen können, um das Risiko eines Angriffs zu minimieren.

BREACH-Angriffen auf der Spur

Um die Verschlüsselung zu überlisten, zielt ein BREACH-Angriff auf HTTP-Antworten ab, die mit HTTP-Kompressionen funktionieren. Damit zielen sie auf ein kritisches Geschäftsfeld ab, minimiert diese Technik doch die Bandbreiten-Kosten und verkürzt die Website-Ladezeit.

BREACH klaut Informationen, auf welche Weise Daten auf Websites mit aktiviertem HTTPS, beziehungsweise deren Web-Applikationen, verschlüsselt werden. Für diesen Zweck kombiniert BREACH zwei Angriffs-Arten: Einerseits Cross-Site-Request-Forgery (CSRF), um Daten während des Transport zu ändern. Andererseite werden Daten in die HTTPS-Header mit einem so genannten Man-in-the-middle-Angriff eingespeist. Mit der Antwort auf diese angefragten Änderungen können Angreifer den Schlüssel heraus filtern. Das Ganze geht Byte für Byte und ermöglicht die komplette Entschlüsselung der Daten.

Statische Websites sind vor dieser Art Angriff relativ sicher. Das trifft allerdings nicht auf komplette und mit vielen verschiedenen Funktionen gestaltete Web-Applikationen. Diese sind verwundbar. Sie erwarten Input von Web-Clients. Somit lassen sich Änderungen hinsichtlich der Webseite einfacher bemessen, die von der Web-Applikation ausgeliefert werden. Unter Umständen reicht das aus, um die Verbindung zu entschlüsseln. Betrachtet man das Szenario serverseitig, geht durch diese Technik wenig Gefahr aus. Um auf der Client-Seite Man-in-the-Middle-Angriffe zu verhindern, sind Updates notwendig. Zum Glück funktioniert diese Angriffs-Methode wahrscheinlich nicht bei anderen Protokollen die SSL/TLS als Transport-Layer benutzen. Beispiele hierfür wären SSL-SMTP oder IMAPS.

Maßnahmen gegen das Angriffs-Risiko minimieren

Es gibt viele Ansätze, wie Sie die Chance eines BREACH-Angriffs minimieren. Ivan Ristic, Leiter von Application Security  Reseach bei Qualsys Inc., hat einen Blog-Beitrag zu möglichen Verteidigungs-Mechanismen geschrieben. Bei Carnegie Mellon CERT finden Sie in einer Security-Anweisung eine Liste mit potentiellen Optionen, um solche Angriffe abzuschwächen. Es gibt außerdem einen Entwurf von Internet Engineering Task Force (IETF), die Vorschläge hinsichtlich TLS-Verbesserung aus Gründen von Schutzmaßnahmen unterbreitet.

Leider eliminiert keine dieser Strategien das Problem vollständig. Ristic weist darauf hin, dass Korrekturen und Verbesserungen des Browsers notwendig sind. Auch wenn BREACH auf Unternehmen nur minimale Auswirkungen hat, ist eine sorgfältige Analyse beim Auffinden verwundbarer Websites hilfreich. Das gilt auch für andere Angriffe im Hinblick auf SSL/TLS.

Organisationen können einiges unternehmen, um potentielle BREACH-Angriffe abzuschwächen. Auch wenn sich diese als effizient erweisen, könnten sich die Strategien negativ auf das Geschäft auswirken. Wenn Sie zum Beispiel Header-Kompression deaktivieren, ist das Risiko eines BREACH-Angriffs deutlich minimiert. Allerdings kann sich das beträchtlich auf die Bandbreite einer Unternehmens-Website auswirken, die mit hohem Traffic zu kämpfen hat.

Zum Glück gibt es weitere Optionen für die Prävention. Dazu gehören unter anderem:

  • Um interne Clients auf der sicheren Seite zu haben, benutzen Sie IPsec VPN (Virtual Private Network). Damit wehren Sie Man-in-the-Middle-Angriffe ab. IPsec kann außerdem vor verwundbarem SSL VPN schützen.
  • Setzen Sie Intrusion Prevention System (IPS) oder Intrusion Detection System (IDS) ein. Somit können Sie bösartige Clients ausfindig machen, die sich die Schwachstelle zu Nutze machen wollen. Das gibt Ihnen die Möglichkeit, entsprechend zu reagieren. Ein Blockieren des Systems ist möglich oder sie warnen den jeweiligen Anwender.
  • Alternativ kann eine Web-Applikations-Firewall oder eine Firewall mit Web-Inspektions-Funktionen beim Aufspüren verdächtiger Clients helfen und diese entsprechend blockieren.
  • Ein Schwachstellen-Scanner oder ein Security-Tool identifiziert potentiell verwundbare Web-Applikationen, die ein Update benötigen.
  • Ein Web-Proxy oder eine Konfigurationseinstellung am Web-Server kann Client-Systeme blockieren, die binnen 30 Sekunden mehr als eine vorgegebene Anzahl an Verbindungen herstellen möchten. Da BREACH-Angriffe eine beträchtliche Anzahl an Verbindungen benötigen, ist das eine Maßnahme gegen diesen Art von Exploit.

Fazit

Die Protokolle SSL und TSL mussten im Laufe der Zeit schon sehr genaue Prüfungen über sich ergehen lassen. Dennoch gelten Sie weiterhin als die effizientesten Mechanismen, um Transaktionen über öffentliche Netzwerke zu schützen.

Es gibt unsichere Methoden, die diese Protokolle verwenden. Ist SSL/TLS allerdings korrekt implementiert, bietet es hohe eine Sicherheit für den Datenverkehr.

Firmen können sich auf HTTPS und SSL/TLS verlassen und sollten das auch tun, um Ihren Datenverkehr abzusichern. Auch wenn HTTPS nicht vor Man-in-the-Middle-Angriffen sicher ist, können sich Unternehmen mit einigen Security-Verbesserungen und verschlüsselten Protokollen gegen diese Angriffe wehren.

Aufgrund von BREACH müssen Sie vielleicht schneller reagieren, um das Risiko zu minimieren. Langfristig sollte dieser Umstand Organisationen nicht davon abbringen, Verschlüsselung für den Daten-Transport zu benutzen. Die Vorteile von Verschlüsselung überwiegen die Nachteile, die Schwachstellen mit speziellen Angriffen offenbaren.

Über den Autor: Nick Lewis, CISSP, ist Sicherheitsbeauftragter der Saint Louis University. Nick hat seinen Master of Science in Informationssicherung von der Norwich University 2005 und in Telekommunikation von der Michigan State University im Jahr 2002 erhalten. Bevor er bei der Staint Louis University 2011 anfing, arbeitete Nick an der University of Michigan und im Boston Children's Hospital. Weiterhin war er für Internet2 und die Michigan State University tätig.

Artikel wurde zuletzt im Dezember 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close