HTTPS-Verschlüsselung in einem Vierzigstel der bisher benötigten Zeit geknackt
Bisher benötigten Sicherheitsforscher zur Ausnutzung von Schwachstellen im Verschlüsselungsalgorithmus RC4 rund 2000 Stunden. Mathy Vanhoef und Frank Piessens von der belgischen Universität Löwen ist es nun in 52 Stunden gelungen, an die Daten eines verschlüsselten Cookies zu gelangen. Damit könnten sie sich unter fremden Namen bei einer Website anmelden.
Forschern an der belgischen Universität Löwen ist es gelungen, Schwachstellen im Verschlüsselungsalgorithmus RC4 in deutlich kürzerer Zeit als bisher auszunutzen. Mit dem RC4 Nomore genannten Angriff konnten Mathy Vanhoef und Frank Piessens Web Cookies, die benutzt werden, um Nutzerdaten während der Kommunikation mit per HTTPS verschlüsselten Websites zu speichern, entschlüsseln.
“Frühere Angriffe gegen RC4 benötigten rund 2000 Stunden, aber die Methode von Vanhoef und Piessens ist bei realen Bedingungen in nur 52 Stunden erfolgreich”, erklärt Carl Leonard, Principal Security Analyst bei Websense. “Ein Angreifer mit Man-in-the-Middle-Fähigkeiten könnte einen Nutzer dazu bringen, auf Code zuzugreifen, der die benötigten Daten generiert, um erfolgreich die Cookie-Daten auszulesen. Danach könnte sich der Angreifer in kurzer Zeit mit den Cookie-Daten im Namen des Opfers bei einer Website anmelden.”
RC4 ist eine Möglichkeit um HTTP-Verschlüsselung per Transport Layer Security (TLS) umzusetzen. Eigentlich soll dadurch verhindert werden, dass Dritte den Datenverkehr zwischen Server und Nutzer mitlesen. Der inzwischen fast 30 Jahre alte Algorithmus ist zwar immer noch immer weit verbreitet, gilt aber als anfällig für moderne Cyberangriffe. Die Internet Engineering Task Force (IETF) verbietet den Einsatz von RC4 bereits seit Februar 2015.
Laut International Computer Science Institute der Universität Berkeley verwenden noch 12,8 Prozent der in den vergangenen 30 Tagen von den dortigen Wissenschaftlern erfassten Chiffrensammlungen RC4. Hunderttausende Websites sind also anfällig für die jetzt belegten, sogenannten RC4-Nomore-Angriffe.
Weitere Details zu ihrer Untersuchung wollen Mathy Vanhoef und Frank Piessens im August auf dem Usenix Security Symposium in Washington vorstellen. “Wenn grundlegende Schwachstellen wie die im RC4-Algorithmus öffentlich gemacht werden, dann müssen Unternehmen effektive Maßnahmen ergreifen”, fordert Security-Experte Leonard. Für Unternehmen sei die Aufdeckung eine echte Bedrohung, sowohl geistiges Eigentum als auch Finanzdaten seien in Gefahr. Leonard weiter: “RC4 hat sich erneut als sehr unzuverlässige Methode für eine sichere Verschlüsselung erwiesen.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.
