barrichello87 - Fotolia

Browsersicherheit: Angriff auf HTTPS per HEIST

Der HEIST-Angriff nutzt Funktionen von HTTP/2 um verschlüsselte Daten aus HTTPS-Verbindungen zu stehlen. Wie kann man dieser Bedrohung begegnen?

Grundsätzlich wurde das HTTP/2-Protokoll entwickelt, um Sicherheit und Leistung zu verbessern. Allerdings lässt es sich scheinbar auch nutzen, um mit bereits bekannten Attacken mehr Schaden anzurichten. Auf der Konferenz Black Hat USA 2016 haben die beiden Forscher Tom Van Goethem und Mathy Vanhoeff von der belgischen Universität in Leuven eine webbasierte Attacke vorgestellt, die mit einfachem JavaScript verschlüsselte Inhalte aus HTTPS-Traffic stehlen kann.

Bislang mussten Angriffe auf den Secure Socket Layer (SSL) und die Transport Layer Security (TLS), bekannt sind etwa CRIME oder BREACH, den Traffic zwischen Server und Opfer manipulieren oder konnten ihn nur mitschneiden. Für einen erfolgreichen Zugriff auf die Daten musste der Angreifer als Man-in-the-Middle zwischen dem Opfer und seinem Zielserver sitzen. Die neue Attacke namens HEIST (das Kürzel steht für „HTTP encrypted information can be stolen through TCP-windows“) kann die Daten des Opfers stehlen, wenn dieses eine kompromittierte Seite besucht oder eine Seite, die etwa manipuliertes JavaScript ausliefert, beispielsweise über Anzeigen. Die HEIST-Attacke kann zudem die Funktionen von HTTP/2 nutzen, um den Angriff zu beschleunigen.

HEIST ist eine Side-Channel-Attacke auf HTTPS. Die Verschlüsselung wird nicht gebrochen, der Angriff kombiniert Schwachstellen und unerwartetes Verhalten in der Interaktion zwischen HTTP, SSL/TLS und TCP, um genügend Daten aus der Verbindung zu erhalten. Dies wiederum, um die Inhalte zu erraten. Die Attacke funktioniert, indem sie die Antworten von HTTPS über TCP nutzt, um die Größe der HTTPS-Antworten zu messen. JavaScript-Code darf eigentlich nicht wissen, wie viele Bytes an Daten in der Antwort enthalten sind. HEIST allerdings nutzt zwei neue APIs in JavaScript, um diese Beschränkung zu umgehen. Die beiden APIs sind HTML5 Resource Timing und Fetch. Kennt ein Angreifer die Größe einer verschlüsselten Nachricht, kann er wahlweise die BREACH- oder CRIME-Technik nutzen, um die Inhalte per Brute Force zu entschlüsseln. Beide Angriffsmethoden können genutzt werden, um Payloads zu entschlüsseln. Das funktioniert, indem die Dateikompression manipuliert wird. Diese verwenden Webseiten, um die Größe übertragener Daten zu minimieren und die Webseite schneller laden zu lassen.

Vergrößerte Angriffsfläche

Gibt es auf der Webseite einen doppelten Block an Informationen, sendet der Server diesen Block nur einmal zum Leser. Das HEIST-Skript schickt immer wieder Anfragen an die Webseite, jede davon variiert etwas. Die Attacke hat das Ziel, relevante Informationen zu finden, etwa Passwörter oder Account-Daten. Werden Daten in einem Block falsch geraten, ist der Block größer. Passen die geratenen Informationen, gibt es keine Zunahme bei der Größe der Blocks, denn die Kompression verschickt die Informationen einfach nicht. HEIST wiederholt diesen Vorgang mehrere tausend Mal, wobei die Größe jeder Antwort analysiert wird. Nach und nach kann der Exploit so die Inhalte einer verschlüsselten Webseite erraten. Dieser Teil des Angriffs kann eine Weile dauern. Wird die Seite aber über das HTTP/2 Protokoll ausgeliefert, kann die Zeit für diese Anfragen deutlich reduziert werden. Zudem macht es HPACK, das in HTTP/2 verwendete Kompressionsverfahren, deutlich einfacher, die Länge des Header Frame zu erraten.

HTTP/2 ist das erste große Upgrade für das Hypertext Transfer Protocol in über 15 Jahren. Dessen Hauptziel ist es, die Leistung von Webseiten zu erhöhen. Allerdings kann es sein, dass die Sicherheit im Zuge der Verbesserung verringert wurde. Die neuen Funktionen in HTTP/2 haben die Angriffsfläche in jedem Fall vergrößert. Vier Angriffsmethoden und Schwachstellen hat das Unternehmen Imperva in seinem Bericht „HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol“ (PDF) aufgeführt. Zwei davon waren bereits bekannt, diese gab es bereits in Implementierungen von HTTP/1.x. Keine Technologie kann alleine die wichtige Daten effektiv schützen kann. HTTPS ist allerdings eine Kernkomponente für sichere Kommunikation, werden Schwachstellen darin ausgenutzt, besteht ein Risiko für das gesamte Internet.

Schwachstellen beheben

Die beste Option wäre es, das Ausrollen von HTTP/2 für Seiten mit sensitiven Daten auszusetzen, zumindest solange, bis mehr Forschung zu HTTP/2 erfolgte. Administratoren, die bereits auf HTTP/2 setzen – etwa für schnellere Ladezeiten – sollten in jedem Fall zuerst bestehende Schwachstellen beheben. Viele Seiten sind immer noch verwundbar für BREACH. Auch wenn noch keine Meldungen bekannt sind, dass via BREACH echte Accounts übernommen werden konnten, könnte sich das im Zusammenhang mit HEIST ändern. Online-Tools wie der SSL Server Test von Qualys können testen, ob eine Webseite gegen BREACH abgesichert ist.

Damit eine HEIST-Attacke erfolgreich ist, muss die Webseite einen Teil der Browseranfrage in den eigenen Inhalt integrieren oder an den Anfragenden zurückgeben. Der Nutzer muss JavaScript und Cookies von Drittanbietern aktiviert haben. Sobald bekannt wird, dass die HEIST-Attacke in der freien Wildbahn ausgenutzt wird, sollten Nutzer diese Cookies deaktivieren oder verschlüsselte Inhalte im privaten Modus des jeweiligen Browsers aufrufen. Eine Alternative ist das Deaktivieren von JavaScript, auch wenn dies viele aktuelle Webseiten wahrscheinlich in Sachen Nutzbarkeit beeinträchtigt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Forbidden Attacks: Gefahr für HTTPS-Verbindungen.

Die Ausfallsicherheit von Webservern verbessern.

SHA-1-Zertifikate: Der Countdown läuft.

Die Auswirkungen von HTTP/2 auf Browser und Desktop-Infrastruktur.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close