Workshop: SSL Stripping erkennen und bekämpfen - Teil 1: Grundlagen und Hintergründe

Seit der Frühzeit des Ethernet und dem Aufkommen des Address Resolution Protocol (ARP) ist dieses eine Achillesferse der Netzwerkkommunikation, zumindest wenn es ungesichert bleibt. Glücklicherweise war die Nachfrage nach einer professionellen Absicherung des ARP entsprechend groß. Heutige Systeme sind daher oft durch entsprechende Maßnahmen geschützt. Dennoch bleibt das sogenannte ARP Poisoning eine der am weitesten verbreiteten Methoden zur Einleitung eines sogenannten "Man-in-the-Middle"-Angriffs (MITM Attack).

Bei einer solchen Attacke leitet eine nicht befugte, dritte Person die Kommunikation zweier oder mehrerer Gesprächspartner auf ein eigenes System um. Dort werden die Nachrichten abgehört oder verändert. Als Reaktion darauf entwickelten viele Hersteller Sicherheitsstandards, die die Kommunikation verschlüsseln sollten. Das bekannteste zu diesem Zweck entworfene Protokoll ist der Secure Sockets Layer (SSL), der mittlerweile als Transport Layer Security (TLS) bekannt ist. Ursprünglich beschrieb Netscape diesen Standard, inzwischen wird er von allen großen Browsern unterstützt. Nach seinen Vorgaben wird die Identität des Servers dem Nutzer gegenüber durch ein Zertifikat einer unabhängigen Stelle bestätigt.

Theorie und Praxis - Zertifizierung mit SSL Stripping umgehen

In der Theorie ist das Zertifikatesystem ausgesprochen schwer anzugreifen, und nicht umsonst gilt TLS als ein sehr sicheres Protokoll. Doch unter realistischen Bedingungen kann das Konzept leicht durch einen kleinen Trick ausgehebelt werden. Diesen stellte Moxie Marlinspike am Black Hat DC 2009 der Szene der destruktiven Hacker vor. Der Angriff basiert auf einem Rogue Proxy, der die Internetverbindungen des Opfers nicht nur weiterleitet, sondern auch manipuliert. Vom Server kommende "302 Found"-Weiterleitungen auf gesicherte Seiten erreichen dem Konzept zufolge nie den Nutzer, da sie vom Angreifer durch unsichere Verbindungen ersetzt werden.

Bis heute allerdings findet dieser Angriff nur wenig Beachtung. Die Hauptkritik an TLS zielt auf die Zuverlässigkeit der Zertifikatstellen, die bereits mehrmals Opfer von Angriffen wurden. Dabei ist das sogenannte SSL Stripping im Gegensatz zu klassischen MITM-Angriffen auf TLS auch fähig, Verbindungen zu bereits bekannten Servern ohne Zertifikatfehler oder andere wesentliche Auffälligkeiten abzuhören.

Eine praktische Demonstration soll daher dazu dienen, das Bewusstsein für den Angriff zu stärken. Zum Einsatz kommen hierzu die verbreiteten Tools Ettercap und Wireshark sowie das Skript sslstrip.py selbst.

Bei diesem Artikel handelt es sich um den ersten Teil eines zweiteiligen Workshops. Er wird sich mit den prinzipiellen Grundlagen, den Hintergründen und der Geschichte solcher Angriffe befassen. Der zweite Teil folgt am morgigen Freitag.