Freak Attack – eine neue alte Sicherheitsbedrohung im Netz

Freak Attack – eine neue alte Sicherheitsbedrohung im Netz

Seit einigen Tagen sorgt unter dem Namen “Freak” eine neu entdecke Sicherheitslücke für einiges Aufsehen und Besorgnis. Sie betrifft das Surfen im Internet und hierbei die Verschlüsselung der Datenverbindung. Das Problem ist komplex, das Ausmaß wird erst nach und nach bekannt und ist beachtlich. Bemerkenswert: die Schwachstelle hat ihren Ursprung in den 1990er Jahren und beruht auf sehr alten Algorithmen, die offenbar immer noch in Verwendung sind.

Die Schwachstelle
Freak betrifft Datenverbindungen, die mit SSL bzw. dem SSL-Nachfolger TLS verschlüsselt sind, zu erkennen an dem httpS:// in der Adresszeile des Web-Browsers. Die Schwachstelle ermöglicht es Angreifern, die Verschlüsselung zu schwächen und eine Verbindung über eine unsichere, so genannte 512-Bit-RSA-Verschlüsselung zu erzwingen. Ein solcher 512-Bit-Schlüssel lässt sich in überschaubarer Zeit knacken. Umso mehr, als viele gängige Webserver den Schlüssel über längere Zeit im Cache zwischenspeichern. Ist der Schlüssel geknackt, kann der Angreifer den Datenverkehr abhören, mitschneiden und manipulieren.

Ursache und Hintergrund
Die schwachen RSA-Verschlüsselungsalgorithmen im SSL-Protokoll stammen aus den 90er Jahren und haben ihren Ursprung in den USA. Damals hat die US-Regierung die Nutzung effizienter, starker Krypto-Verfahren eingeschränkt – zugunsten der NSA. Stattdessen wurden künstlich geschwächte Verschlüsselungsverfahren eingesetzt. Auch nur diese durften von den USA aus ins Ausland verkauft werden.

Heute sollte der RSA-Export-Modus eigentlich nirgends mehr verwendet werden, doch die Realität sieht erschreckend anders aus. Viele Server unterstützen dieses alte Verfahren noch immer und sind damit für den Freak-Angriff verwundbar. Aktuelle Ironie der Geschichte: Auch die Webseite der NSA ist betroffen.

Welche Systeme sind angreifbar?
Damit eine Freak Attacke greifen kann, sind bestimmte Kombinationen aus Betriebssystem und Webbrowser Voraussetzung. Außerdem spielen die besuchten Webseiten eine Rolle.

Zu den betroffenen Browsern gehören (Auswahl):

  • Android-Browser (blaue Weltkugel als Icon)
  • Blackberry Browser
  • Chrome (Android, OS X)
  • Dolphin (Android, iOS)
  • iCab (iOS)
  • Internet Explorer (Windows, Windows Phone)
  • Opera/Opera mini (Android, iOS, Linux, OS X)
  • Safari (iOS, OS X, Windows)

Nicht betroffen sind nach derzeitigem Stand (Auswahl):

  • Chrome (iOS, Linux, Windows)
  • Firefox (Android, Linux, OS X, Windows)
  • Opera (Windows)
  • Puffin (iOS)

Apple hat die Freak-Attack-Lücke in OS X und iOS inzwischen geschlossen. Auch Microsoft hat für seine Windows-Systeme Sicherheitspatches veröffentlicht. Für das mobile Betriebssystem Windows Phone steht das Update noch aus.

Kein Grund zur Panik
Selbst wenn alle Voraussetzungen für einen “erfolgreichen” Freak-Angriff gegeben sind, gilt es in erster Linie Ruhe und Umsicht zu bewahren. Theoretisch ist Freak Attack zwar einfach auszuführen. Ein flächendeckender Angriff auf beliebige Nutzer ist in der Praxis aber durchaus kompliziert. Derzeit gibt es keine Hinweise darauf, dass die Freak-Schwachstelle in großem Stil ausgenutzt wird.

Etwas anders sieht die Problematik in öffentlichen Netzwerken wie z.B. Cafés aus. Hier kann die Sicherheitslücke gefährlich sein. Auch Geheimdienste mit entsprechend guten Ressourcen könnten die Schwachstelle nutzen, um Datenverkehr zu entschlüsseln und abzuhören.

Ob das eigene System anfällig ist, kann man testen: die Webseite //freakattack.com gibt Auskunft. Auch wenn man vor dem Besuch einer bestimmten Webseite unsicher ist, ob Gefahr droht, gibt es Hilfe: die Seite//www.ssllabs.com/ssltest erlaubt einen Sicherheitscheck der SSL-Verschlüsselung.

Bleibt zu hoffen, dass die Bedrohung überwiegend Theorie bleibt. Alles in allem kaum auszudenken, zu welchem Flächenbrand die staatlich verordneten Regulierungen der Vergangenheit Jahrzehnte später noch führen könnten.

Share this post

Leave a Reply

Your email address will not be published. Required fields are marked *