Neue Man-in-the-Middle-Attacken auf SSL-Verbindungsaufbau
Auf der heute endenen Hacker-Konferenz Black Hat in den USA wurde ein neues Verfahren für Man-in-the-Middle-Attacken auf SSL-Verbindungen bzw. deren Aufbau vorgestellt. Der vorgestellte
SSL-Hacker-Proxy SSLStrip macht sich unter anderem zunutze, dass beim händischen Aufruf von SSL-Verbindungen durch den Anwender die notwendige Protokollangabe https:// weggelassen wird. Entsprechend baut der Proxy dann nur mit dem eigentlichen Ziel-Server die notwendige SSL-Verbindung auf, während die Verbindung zum Browser des Anwenders nicht verschlüsselt ist. Warnmeldungen erhält der Anwender so nicht, könnte aber eine Attacke daran erkennen, dass im Browser nur ein http:// vorangestellt ist. Damit der Anwender keinen Verdacht schöpft, wird jedoch links ein Schloss-Symbol für die Webseite eingeblendet. Doch gibt es hier eine noch effektivere Angriffsmethode auf den Aufbau von SSL-Verbindung. Bekanntermaßen lässt sich ein SSL-Zertifikat auch auf Domains mit Unicode-Zeichen ausstellen, wodurch eine Sub-Domain wie www.gmail.com/accounts/ServiceLogin?f als vom Browser sicher eingestuft wird. Die gesamte URL https://www.gmail.com/accounts/ServiceLogin?f.ijjk.cn dürfte nur die wenigsten Anwender stutzig werden lassen, da es sich scheinbar um eine Parameter-Angabe handelt. In Wirklicht handelt es sich bei dem Fragezeichen aber nicht um das Parameter-Angebene URL-Zeichen aus dem ASCII-Bereich. War dieses Verfahren bisher hauptsächlich bei Phishing-Angriffen mit manipulierten E-Mails im Einsatz, dürfte es in Kombination mit dem vorgestellten SSL-Hacker-Proxy SSLStrip nun für effektivere Angriffe, vor allem auf Unternehmensnetzwerke, genutzt werden.
Weiterführende Links: