Gefahr beim Homebanking: So arbeitet die neue SSL-Attacke

Die von Marsh Ray und Steve Dispensa entwickelte Angriffsmethode auf SSL/TLS-Verbindungen stellt eine reale Gefahr dar, Man-in-the-Middle-Angriffe so auszuführen, dass auch ein SSL-Serverzertifikat nicht mehr schützen kann. Auch Smartcards mit Client-Zertifikaten bieten keinen Schutz vor diesem Angriff.

Um einen solchen einen Angriff auszuführen, muss sich ein Angreifer jedoch in den physikalischen Übertragungsweg einklinken, etwa beim Provider. Die Wahrscheinlichkeit, dabei entdeckt zu werden, ist sehr hoch, wenn der Provider geeignete Überwachungsmethoden einsetzt.

Um solche Angriffe zu verhindern, sind die Anbieter von sicherheitsempfindlichen Diensten wie Homebanking gefordert. Am Webbrowser des Clients kann nichts getan werden, da der Angreifer einen Browser simulieren kann, der TLS-Renegotiations zulässt. Für alle Anbieter ist es wichtig, ihren Webserver zu patchen und sicherzustellen, dass TLS-Renegotiations einerseits nicht notwendig sind und anderseits abgelehnt werden.

Praktisch lassen sich Man-in-the-Middle-Angriffe auch mit einem gegen den Ray-Dispensa-Angriff gesicherten Server erfolgreich durchführen, da davon auszugehen ist, dass Benutzer einem SSL-Zertifikat vertrauen, welches der Browser nicht als potenziell unsicher moniert. So ein Zertifikat kann sich jedermann besorgen. Schützen kann man sich nur, wenn man jedes Mal einen Blick auf das Zertifikat wirft und überprüft, ob es tatsächlich auf die Bank ausgestellt ist.