Gefahr beim Homebanking: So arbeitet die neue SSL-Attacke

Die ersten Versuche liefen darauf hinaus, dass eine Authentifizierung per Client-Zertifikat erfolgreich war. Das hat praktische Relevanz, wenn man von der Bank eine Smartcard erhalten hat, die zum Homebanking erforderlich ist. Ray und Dispensa konnten sich eine HTTPS-Sitzung mit dem Client-Zertifikat aus einer Smartcard eines Benutzers verschaffen.

Eine andere Möglichkeit, dem Server eine TLS-Renegotiation zu entlocken, besteht darin, in verschiedenen Verzeichnissen des Servers unterschiedliche Verschlüsselungsalgorithmen zu konfigurieren. Das hat allerdings praktisch keine Bedeutung, da eine Bank in der Regel für den gesamten Server dieselbe Konfiguration der erlaubten Verschlüsselungsmethoden vornimmt.

Schließlich gelang es den Forschern beim Verbindungsaufbau der TLS-Sitzung einen Client-Request so zu modifizieren, dass unmittelbar eine TLS-Renegotiation stattfindet. Diese Form des Angriffs ist für Hacker sehr attraktiv, da keine speziellen Voraussetzungen auf dem Server erforderlich sind. Diese Methode funktioniert mit Homebanking-Sites, die keine Smartcard verlangen. Sowohl Apache als auch Microsoft IIS ließen sich auf diese Weise austricksen.

Für Apache und OpenSSL sind bereits Patches verfügbar, die allerdings darauf hinauslaufen, dass keine TLS-Renegotiation mehr stattfindet. Microsoft hat bisher nicht reagiert. Für GNUtls ist ein Patch angekündigt. Die Patches sind allerdings nur Workarounds, da das Abschalten der Verschlüsselungsneuaushandlung in einigen Szenarien zu Problemen führt. Langfristig wird es erforderlich sein, die nächste Version des TLS-Protokolls so abzuändern, dass die Daten einer Finished-Message im Renegotiation-Handshake client hello beziehungsweise server hello erneut übertragen werden müssen.

Als Nutzer von Homebanking und anderen Diensten, die über diese neue Angriffsmethode verwundbar sind, kann man wenig tun, um solche Angriffe zu verhindern. Anwender müssen darauf vertrauen, dass die Homebanking-Anbieter möglichst schnell ihre Webserver patchen und so konfigurieren, dass TLS-Renegotiations nicht erlaubt sind.

Ferner müssen die Anbieter sicherstellen, dass es für den Host nicht erforderlich ist, TLS-Renegotiations durchzuführen. Wenn für verschiedene Verzeichnisse unterschiedliche Verschlüsselungssysteme vorgeschrieben sind, muss der Server die Verschlüsselung neu aushandeln. Sollte das per Konfiguration verboten sein, kommt keine Verbindung zustande.