Das Vorgehen der Angreifer - und der Verteidiger

Workshop: SSL Stripping erkennen und bekämpfen - Teil 2: Abwehr

Ergebnisse des Angriffs auf verschiedene Verbindungen

Um dies beispielhaft in der Praxis vorzuführen, soll das Verhalten mehrerer Webseiten in einer Testumgebung überprüft werden. Hierzu haben wir uns Zugänge bei mehreren namenhaften Online-Angeboten eingerichtet oder unsere bestehenden Accounts verwendet.

Facebook.com: Die Networking-Seite macht keinen besonderen Aufstand. Man meint lediglich, eine kleine Verzögerung zu erkennen. Die einzige größere Auffälligkeit ist, dass plötzlich eine Anfrage des Passwortmanagers auftaucht, der sich das Login sonst nicht merken will. Das Passwort landet jedenfalls beim Angreifer.

Web.de: Überraschenderweise schneidet der in die Jahre gekommene Webmail-Anbieter noch am besten ab: Das Interface will sich nicht öffnen, die Verbindung bricht ab. Problem: Der Angreifer hat die Passwortdaten trotzdem erhalten.

Online-Banking der Sparkasse: Hier erwartet man wohl die größte Sicherheit, bekommt sie aber leider nicht. Zwar läuft das Login spürbar langsamer ab als im Normalfall, außer diesen zwei Sekunden ergeben sich aber keine Auffälligkeiten. Der Angreifer muss allerdings eine Weile suchen, bis er in den abgefangenen POSTs die PIN des Opfers findet.

Google.com: Google schneidet von allen geprüften Angeboten am schlechtesten ab. Die Website scheint fast noch schneller zu laufen als im Normalbetrieb, und sämtliche Datenströme werden abgefangen. Auffälligkeiten: Keine.

Offensichtlich ist es nicht möglich, jede denkbare Verbindung mit sslstrip zu knacken, ohne zumindest ein bisschen Aufsehen zu erregen. Allein die Verwundbarkeit des Bank-Logins macht jedoch deutlich, warum TANs doch keine schlechte Idee sind.