Das Vorgehen der Angreifer - und der Verteidiger

Workshop: SSL Stripping erkennen und bekämpfen - Teil 2: Abwehr

Auch, wenn SSL/TLS im Wesentlichen sicher ist - gegen menschliche Fehler kann kein Sicherheitssystem viel ausrichten. Und beim verbreiteten Einsatz zur HTTP-Verschlüsselung passieren diese nur allzu leicht, denn SSL Stripping hinterlässt kaum Spuren. Lesen Sie in diesem Artikel, wie einfach der Angriff auszuführen und wie schwer er abzuwehren ist.

Bei diesem Artikel handelt es sich um den zweiten Teil unseres Workshops zum Thema SSL Stripping. Den ersten Teil finden Sie hier. Er befasst sich mit den technischen Grundlagen, die einen solchen Angriff erlauben, sowie mit deren Entstehungsgeschichte.

Über so grundlegende Dinge wie das Lesen eines Zertifikatefehlers hinaus kann vom durchschnittlichen Anwender vieles nicht erwartet werden. Hierzu gehört mit Sicherheit, einen SSL-Stripping-Angriff zu erkennen. Dieser ist keine eigentlich neue Methode, vielmehr wurden bestehende Konzepte lediglich leicht abgewandelt, um eine neue Strategie zu bilden.

Trotz SSL: abgefangene Login-Informationen
Trotz SSL: abgefangene Login-Informationen

Der Trick greift die Annahme auf, dass viele Nutzer nur die Domain oder höchstens noch deren Subdomain - etwa "www.tecchannel.de" - in die Adresszeile ihres Browsers eingeben. Bei dieser Vorgehensweise wird eine TLS-Verbindung nicht direkt vom Nutzer aufgebaut, was sehr viel sicherer wäre, sondern erst auf die Antwort "302 Found" des angewählten Servers hin. Unter Umständen ist dieses Verhalten dem Anwender nicht einmal bekannt - ideal, um den Verschlüsselungsversuch abzufangen. Der Angreifer präsentiert sich hierfür dem Server als der eigentliche Partner, akzeptiert dessen TLS-Verbindung und stellt zum Opfer lediglich eine ungesicherte Verbindung durch. Er agiert damit als sogenannter "Rogue Proxy". Durch die Manipulation der weitergegeben Website werden unter anderem alle mit "https://" beginnenden Links durch einfache "http://"-Verweise ersetzt.

Von der Theorie zur Praxis

Ein solcher Angriff ist dank einiger subtiler Hinweise zu bemerken; so färben einige Browser beispielsweise, wie erwähnt, ihre Adresszeile ein, um sichere Verbindungen zu kennzeichnen. Dies bleibt aus, wenn die TLS-Verbindung angefangen wurde. Andere stellen ein kleines Schloss als Icon neben die gewählte Adresse, wenn eine sichere Verbindung besteht. Da allerdings der Angreifer die volle Kontrolle über den Datenstrom hat, ist er sogar in der Lage, Letzteres durch die Injektion eines ähnlichen Favicons zu simulieren.

Unauffällig: Die Anfrage taucht nur auf, weil die Verschlüsselung fehlt.
Unauffällig: Die Anfrage taucht nur auf, weil die Verschlüsselung fehlt.

Zudem wickeln viele Webseiten nicht ihren vollständigen Datenverkehr über TLS ab. So baut die bekannte Social-Media-Seite Facebook nur für einen kurzen Moment eine verschlüsselte Verbindung auf, um das Passwort zu übertragen - völlig unbemerkt vom Nutzer. Entsprechend unbemerkt lässt sich diese Verbindung auch abfangen, und schon liegt das Passwort dem Angreifer im Klartext vor.

Selbst der aufmerksamste Nutzer wird kaum über diese Kleinigkeiten stolpern - es sei denn, er forciert den Aufbau einer TLS-Verbindung mit der Eingabe von "https://" vor der gewünschten Adresse. Dies einzufordern ist allerdings reichlich unrealistisch. Zu größeren Darstellungsproblemen kann es auf Opferseite höchstens in Einzelfällen kommen, denn einige Angebote sind in einer Weise gestrickt, die den Angriff unmöglich machen. Hierbei mag es sich meist um Zufall handeln, doch üblicherweise ist dann ein völlig zerschlissenes Layout die Folge, verbunden mit massiven Verzögerungen.

In der Praxis kommt dies allerdings kaum vor. Der Architekt des Angriffs verkündete schadenfroh, durch Anwendung der Methode auf einen TOR-Knoten mehr als 100 verschiedene Logins innerhalb kurzer Zeit gewonnen zu haben. Darunter sollen sich vertrauliche Kontodaten von diversen Armeen, Botschaften und Ministerien befunden haben. Nicht eines der Opfer schöpfte angeblich Verdacht.