Secure Sockets Layer (SSL)-Zertifikate sind das Herzstück moderner Browser und Server, um sichere Webverbindungen zu gewährleisten.
Ein SSL-Strip bedeutet im Wesentlichen, dass eine sichere HTTPS-Verbindung herabgestuft wird. Dies führt dazu, dass die Verbindung in eine ungesicherte HTTP-Verbindung umgewandelt wird, die nicht verschlüsselt ist und somit verschiedenen Schwachstellen Tür und Tor öffnen kann.
SSL-Stripping-Angriffe sind dafür bekannt, dass sie die weit verbreiteten Man-in-the-Middle-Angriffe ermöglichen. Dabei fängt ein Cyberkrimineller gesicherte Konversationen ab, um an private Daten zu gelangen. Durch MITM-Angriffe können Bedrohungsakteure insbesondere Informationen stehlen, betrügerische Transaktionen durchführen und sich in die persönliche Kommunikation einmischen.
Sehen wir uns an, was ein SSL-Strip ist, wie er funktioniert, welche Arten von SSL-Stripping-Angriffen es gibt und wie man sie verhindern kann.
SSL-Stripping erklärt
Was ist SSL-Stripping? Kurz gesagt handelt es sich um eine von einem böswilligen Benutzer durchgeführte Aktion, die zu einer Herabstufung von einer sicheren HTTPS-Verbindung zu einer weniger sicheren verschlüsselten HTTP-Verbindung führt. Infolgedessen ist die gesamte Webverbindung nicht mehr verschlüsselt. Dies birgt für Privatpersonen und Unternehmen Risiken wie den Verlust privater Daten, Betrug und Angriffe auf größere Systeme.
Schauen wir uns zunächst die grundlegenden Begriffe an, um die Schwere des SSL-Stripping-Downgrade-Angriffs zu verstehen.
Was ist SSL?
SSL (Secure Sockets Layer) ist auch als Transport Layer Security (TLS) oder SSL/TLS bekannt. Über SSL/TLS kann der Datenverkehr verschlüsselt werden, und Server können authentifiziert werden, um ein hohes Maß an Sicherheit für Webverbindungen zu gewährleisten.
Die SSL-Verschlüsselung erfolgt über einen TLS-Handshake, der das Gespräch zwischen einem Browser und einem Server einleitet. Der Browser eines Benutzers initiiert einen TLS Handshake, um die Verbindung zwischen dem Web-Client und dem Server herzustellen. Der TLS Handshake ist jedoch unverschlüsselt und kann daher von böswilligen Akteuren missbraucht werden.
HTTP und HTTPS
HTTP steht für Hypertext Transfer Protocol. Es stellt eine Verbindung zwischen einer Website und einem Browser dar, die nicht verschlüsselt ist und daher als nicht sicher genug für die heutige digitale Umgebung angesehen wird. HTTPS hingegen steht für Hypertext Transfer Protocol Secure. Es verwendet Datenverschlüsselung zum Schutz vor unbefugtem Zugriff auf die übertragenen Informationen – deshalb gilt es als sicheres Protokoll.
SSL-Stripping zielt darauf ab, andere Arten von Abfangangriffen zu ermöglichen. Insbesondere kann es einem Angreifer ermöglichen, einen Man-in-the-Middle-Angriff durchzuführen. Dies bedeutet, dass der Cyberkriminelle private Kommunikation und Datentransfers abfangen kann, um sich unrechtmäßig Zugang zu sensiblen Daten wie Benutzernamen, Kennwörtern, E-Mail-Korrespondenz und Bankdaten zu verschaffen – ohne dabei erwischt zu werden.
Das SSL-Striping kann durch den Missbrauch des unverschlüsselten TCP Handshake erfolgen. Wenn ein Benutzer-Browser Zugang zu einem Server anfordert, greift der Man-in-the-Middle-Angreifer ein und sendet stattdessen den Handshake. Anschließend leitet er eine bösartige Website-Verbindung an den Benutzer weiter.
Bei der Verwendung von HTTPS kann ein böswilliger Benutzer zwar einen Man-in-the-Middle-Angriffsversuch durchführen, die von einem Web-Client an einen Server übertragenen Daten jedoch nicht lesen, da sie verschlüsselt sind.
Die Geschichte von SSL-Stripping
Die SSL-Stripping-Schwachstelle wurde 2009 von Moxie Marlinspike, einem bekannten amerikanischen Computer-Sicherheitsforscher, entdeckt. Er zeigte auf, wie SSL-Stripping-Angriffe ausgeführt werden können, ohne dass sie jemand bemerkt, was sie zu einer ernsthaften Bedrohung für die digitale Sicherheit sowohl von normalen Nutzern als auch von Unternehmen macht.
Arten von SSL-Stripping-Angriffen
Zu den drei häufigsten SSL-Stripping-Angriffen gehören ARP-Spoofing, die Verwendung eines Proxy-Servers und die Nutzung öffentlicher Wi-Fi-Hotspots.
ARP-Spoofing
Um SSL-Stripping durchzuführen, verbindet sich ein böswilliger Benutzer über eine gefälschte ARP-Nachricht (Address Resolution Protocol) mit der IP-Adresse eines Benutzers. Dann kann der Angreifer die an diese IP-Adresse gesendeten Daten erhalten.
Verwendung eines Proxyservers
Ein Angreifer kann einen Browser-Proxy manipulieren, um den Datenverkehr zu seinem externen Server zu leiten. Infolgedessen erhält der Angreifer jede Anfrage, die von der Benutzerseite aus gestellt wird. So können sie auf der Grundlage unverschlüsselter Anfragen bösartige Verbindungen aufbauen.
Verwendung eines gefälschten öffentlichen Wi-Fi-Netzwerks
Cyberkriminelle können öffentliche Drahtlosnetzwerke einrichten, um Benutzer dazu zu verleiten, sich mit ihnen zu verbinden. Bedrohungsakteure verwenden häufig Netzwerknamen, die beliebten offenen Wi-Fi-Netzwerken und legitimen Hotspot-Namen ähneln, wie z. B. die Namen von Cafés und öffentlichen Einrichtungen.
Sobald die Verbindungen über die gefälschten Hotspots hergestellt sind, können die Angreifer die gesamte Kommunikation der Benutzer abfangen, die über sie läuft.
Wie man SSL-Stripping-Angriffe erkennt
Auch wenn viele SSL-Stripping-Angriffe unbemerkt bleiben, ist es nicht schwer, sie zu erkennen. Man muss nur auf die Anzeichen achten, die auf eine solche Schwachstelle hinweisen.
Zu den häufigsten Möglichkeiten, SSL-Stripping zu erkennen, gehören:
- Die Webadresse in der Suchleiste des Webbrowsers ist der offensichtlichste Weg, um einen SSL-Stripping-Angriff zu erkennen. Anstelle von HTTPS steht dort nur HTTP. Außerdem wäre das Vorhängeschloss neben der Webadressleiste geöffnet und rot gefärbt.
- Eine weitere offensichtliche Möglichkeit, einen SSL-Stripping-Angriff zu erkennen, besteht darin, ein Auge auf das Design und das Aussehen von Websites zu werfen. Oft unterscheiden sich die gefälschten Websites, die den Nutzern nach einem SSL-Strip-Angriff angeboten werden, geringfügig von den ursprünglichen Websites, die sie öffnen wollten. So können beispielsweise Rechtschreibfehler im Text vorkommen, und das Design kann seltsam aussehen.
Einfaches Erkennen von SSL/TLS-Schwachstellen
Wie Sie SSL-Stripping-Angriffe verhindern können
Eine frühzeitige Erkennung ist der beste Weg, um die negativen Auswirkungen von SSL-Stripping zu minimieren. Benutzer müssen auf das seltsame Aussehen der von ihnen besuchten Websites, die Farbe und Form des Vorhängeschlosses in der Suchleiste ihres Browsers und die Angabe von HTTP oder HTTPS an derselben Stelle achten.
Es wird oft empfohlen, die Adressen von Websites manuell einzugeben, anstatt Umleitungen von anderen Websites zu verwenden, die ein unbefugtes Abfangen ermöglichen. Auf diese Weise können Sie einen Man-in-the-Middle-Angriff verhindern.
Einige weitere Methoden zur Verhinderung von SSL-Stripping-Angriffen sind:
- Verwendung einer Browsererweiterung (z. B. HTTPS Everywhere), die solche Angriffe durch den Einsatz von Domain- und Regellisten abfängt
- Aktivieren von SSL auf der gesamten Website statt nur auf einer einzelnen Webseite
- Verwendung von HTTP Strict Transport Security (HSTS), die von Websites verlangt, dass sie nur Verbindungen über HTTPS zulassen
- Verwendung von virtuellen privaten Netzwerken (VPNs)
- Vermeidung von öffentlichem Wi-Fi, um das Abfangen sensibler Daten über eine unsichere Verbindung zu vermeiden
- Setzen von Lesezeichen für sichere Websites zur späteren Verwendung
- Vermeiden von unsicheren HTTP-Verbindungen und verdächtigen Links
In einem Meer von verschiedenen potenziellen Cyber-Bedrohungen, zu denen auch SSL-Stripping-Angriffe gehören. Die leistungsstarke Vulnerability Testing Software von Crashtest Security hilft Ihnen, den Überblick über Cyber-Bedrohungen und Sicherheitslücken zu behalten. Mit ihrer Hilfe können Sie eine breite Palette von Schwachstellen überprüfen und Risiken für Ihre Cybersicherheit verhindern.