Seite weiterempfehlen
Die mit einem Stern (*) gekennzeichneten Felder müssen ausgefüllt werden.Die eingegebnen E-Mail-Adressen bzw. Informationen werden ausschließlich zur Zustellung der Empfehlung verwendet und nicht gespeichert.
SSL-Hijacking
Das erweiterte “Vorspiel”Dass Switches nicht immer sicher sein müssen, wurde bereits in dem Artikel “
Arpspoofing” aufgezeigt. Was sich aus einer solchen Sicherheitslücke entwickeln kann, sei hier folgende aufgezeigt. Das Szenario baut auf einer erweiterten Man-in-the-middle-Attacke auf, welche für sehr lange Zeit als praktisch undurchführbar galt und welche auch heute noch viele Systemadministratoren als unwahrscheinlich bewerten bzw. abtun.
Schon lange Zeit sind aber alle notwendigen Tools hierfür im Internet verfügbar und - sofern geschickt kombiniert - eine äußerst schlagkräftige Angriffsmethode.
Es wird angenommen, dass das Opfer einen gängigen Browser benutzt, um sich mit dem Web-Mail-Interface von GMX über HTTPS zu verbinden.
I.) ARP-Spoofing
Der erste Schritt sei hier nur kurz erwähnt, er besteht in der Manipulation von ARP, beispielsweise durch das Überlisten eines Switches.
(siehe hierzu “
Arpspoofing” - Kann aber auch mit dem Tool Hunt erfolgen, welches sich übrigens auch hervorragend zum Hijacking von Telnet-Verbindungen oder zum Sabotieren von beliebigen TCP-Verbindungen nutzen lässt) II.) DNS-Soofing
Effektiv wäre die DNS-Auflösung noch ein kleiner Schutz des Opfers gegen die weitere Manipulation, wenn da nicht wieder eine Anwendung von Dug Song wäre: dnsspoof. Beim Aufbau der Verbindung zu www.gmx.de wird der Browser des Opfers einen DNS-Server nach der IP-Adresse von www.gmx.de befragen. dnsspoof wird nun dafür sorgen, dass die Query des Browsers falsch beantwortet wird: der Browser kommuniziert nicht wirklich mit www.gmx.de, sondern mit dem Webserver des Angreifers.
III.) SSL-Spoofing
Mit dem Tool “webmitm” wird nun ein Zertifikat erzeugt, welches, damit es vom Benutzer akzeptiert wird, dem Originalen Zertifikat von GMX möglichst ähnlich sein sollte. Dieses wird dem Opfer an Stelle des Originalzertifikates übermittelt und dient zum Herstellen einer verschlüsselten Verbindung.
Die Warnung, dass dieses Zertifikat eine Signatur enthält, die im Browser nicht als eine “vertrauenswürdige” Root-CA (Certificate Authority) aufscheint, wird von den meisten Benutzern mit einem reflexartigen Klick akzeptiert.
Die Daten des Opfers werden von webmitm korrekt an den Ziel-Server weitergeleitet, zuvor allerdings in unverschlüsselter Form in einer Logdatei des Angreifers mitgeschrieben.
GAME OVER
Besonders bemerkenswert ist, dass sich die beschriebene Angriffsform keiner Fehler oder Bugs in der Software bedient.
Alle Angriffsschritte basieren auf systemimmanenten Schwächen von Ethernet, IP, TCP und DNS.
Die Gegenmaßnahmen
Es gibt einige Maßnahmen, die man treffen kann, um solche Attacken zu vereiteln, leider werden dies in der Praxis selten bis nie realisiert.
1.) Die MAC-Adressen der Rechner sind im Switch pro Port fest einzuprogrammieren, wodurch ARP-Spoofing unmöglich wird.
Auch auf den Client-Systemen gibt es Möglichkeiten, einer Manipulation der ARP-Tabelle vorzubeugen.
2.) Übermittelte Zertifikate müssen vom Surfer überprüft werden. Dies könnte zum Beispiel durch das Publizieren des Fingerprints auf der Webseite des Zertifikatsinhaber oder noch besser mit einem Telefonanruf zum Abgleich geschehen.
3.) Die DNS-Struktur auf die sich das Internet stützt ist noch weitgehend ungesichert. Aufgrund der enormen Größe des Netzes und des riesigen Spektrums an Clients ist hier kaum Aussicht auf Besserung.
4.) Schulung der Internet-Benutzer…
(passiert hier gerade *g*)
Nachbetrachtung
Der unschuldige Surfer startet seinen Webbrowser und möchte Internet-Banking betreiben. Wie es sich gehört, wird für die Übertragung der sensiblen Daten eine verschlüsselte Verbindung (HTTPS) zum Server aufgebaut, welche gewährleisten soll, dass die Daten während des Transports nicht mitgelesen werden können.
Eine der vorgesehenen Schutzmassnahmen, das SSL-Zertifikat ist wie in dem oben gezeigten Beispiel allerdings wirkungslos.
Ein vertrauenswürdiges Unternehmen (“Certification Authority”, CA) stellt ein Zertifikat aus, das dem Benutzer versichern sollte, dass er wirklich mit dem gewünschten Unternehmen (Bank) kommuniziert.
Allerdings stellen sich zwei Fragen:
1. Wie entscheidet der Benutzer, welche Unternehmen besonders vertrauenswürdig sind, und daher als CA taugen? (Viele Browser sind bereits mit einer Vielzahl von Zertifikaten von Root-CAs ausgestattet. Jedoch übernimmt kein Browserhersteller eine Garantie, dass die Zertifikate auch authentisch sind, oder die CAs auch wirklich vertrauenswürdig)
2. Wie prüft der Benutzer, ob das von der CA ausgestellte Zertifikat auch authentisch ist? Beide Fragen sind vom Endnutzer in der Regel kaum zu beantworten. Als Beispiel soll hier gezeigt werden, wie sich der Versuch, Internet-Banking zu betreiben, einem Benutzer präsentiert:
Nach dem ersten Verbindungsaufbau mit HTTPS bekommt der Benutzer oft eine Warnung: “Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als vertrauenswürdig eingestuft haben. Untersuchen Sie das Zertifikat um festzustellen, ob Sie der Institution vertrauen möchten”.
Selbst wenn keine solche Warnung erscheint, wird der “Ottonormalverbraucher” bei der genauen Betrachtung verunsichert: Das Zertifikat ist Beispielsweise von einer ihm unbekannten Firma “Thawte” aus dem ihm gleichermaßen unbekannten Land mit der Länderkennung “ZA” ausgestellt.
Eine genaue Recherche ergibt dann (falls der Benutzer so weit kommt), dass die Firma Thawte ihren Sitz in Kapstadt in Südafrika hat.
Der Anwender staunt: “Warum bemüht meine Bank ein Unternehmen in Südafrika um mir ihre Identität plausibel zu machen?” oder geht hier doch ein Schwindel vor sich… ??
Am besten gar nicht auf dumme Gedanken kommen, und einem Angreifer nach einigen Klicks auf diverse “Yes”- und “Accept”-Buttons den vollen Zugriff auf die eigenen Ersparnisse freigeben… ;o)
Hinweis:
Alle hier genannten Produkte bzw. Firmen stehen nur exemplarisch für im Internet allgemeine angewandte Techniken.
Die namentliche Nennung dient der reinen Veranschaulichung und wird aufgrund des hohen Verbreitungsgrades bzw. der großen Popularität der Anwendungen vollzogen.
^ Seitenanfang
