Schutz vor Man-in-the-Middle-Angriffen:
Praxistipp: Wie man sich vor Man-in-the-Middle-Angriffen schützt
Auf der Sicherheitskonferenz »Black Hat« Ende Februar zeigte der White-Hat-Hacker Moxie Marlinspike, wie Cyberkriminelle an Passwörter, Kreditkarteninformationen oder Log-in-Daten von Internet-Nutzern herankommen können. Sie starten dazu eine Man-in-the-Middle-Attacke, bei der sich der Angreifer in die angeblich sichere Kommunikation zwischen User und Server einklinkt. Verisign gibt Tipps, wie sich solche Angriffe verhindern lassen.
Auf der renommierten IT-Sicherheitskonferenz Black Hat demonstrierte Moxie Marlinspike eine Methode, mit der Cyber-Kriminelle in den Besitz von Passwörtern, Kreditkartendaten und anderen persönlichen Daten von Internet-Nutzern kommen können.
Um Anwender in Sicherheit zu wiegen, hier Nutzer von Googles E-Mail-Service Gmail, platziert Moxie Marlinspike ein Schloss-Symbol vor der Internet-Adresse. Der Trick: Es handelte sich in Wirklichkeit gar nicht um eine sichere https://-Verbindung, sondern eine
Der Clou: Den Anwendern wird eine vermeintlich sichere Verbindung zum Server vorgegaukelt. Symbole in der Adresszeile des Browsers, etwa ein Schloss, sollen den Nutzer zusätzlich in Sicherheit wiegen. In Wirklichkeit läuft die Kommunikation über einen Dritten (den Angreifer), der sich in die SSL-Verbindung (Secure Socket Layer) zwischen Browser und Internet-Server einklinkt.
Aus diesem Anlass hat Verisign [1] eine Reihe von einfachen Verhaltensmaßregeln für Internet-Nutzer und Betreiber von Web-Seiten zusammengestellt, mit denen sich die Gefahren, die von solchen Attacken ausgehen, zumindest verringern lassen.
Tipps für Internetnutzer
- Achten Sie auf grüne Schrift oder einen grünen Hintergrund in der Adresszeile des Browsers: Man-in-the-Middle-und Phishing-Angriffe können heute wirkungsvoll durch Extended-Validation-SSL-Zertifikate bekämpft werden. EV-SSL-Zertifikate bestätigen die Identität der Organisation, die Eigentümer einer Web-Site ist. Online-Kriminelle haben keinen Zugriff auf EV-SSL-Zertifikate und können eindeutige Merkmale solcher Zertifikate, wie eine grün hinterlegte Adresszeile im Internet Explorer oder bei Firefox, nicht nachmachen.
- Benutzen Sie immer die neuesten Versionen der Web-Browser wie Internet Explorer 7 oder höher, Firefox 3 oder höher, Google Chrome, Safari oder Opera.
- Nutzen Sie auch zusätzliche Methoden zur sicheren Anmeldung, wenn diese vom Betreiber der Webseite angeboten werden. Dazu zählen Token, die Einmal-Passwörter generieren, oder Einmal-Passwörter, die per SMS auf das Handy gesendet werden.
- Seien Sie besonders vorsichtig, wenn Sie E-Mails von unbekannten Absendern mit integrierten Web-Links erhalten. Cyber-Gangster versuchen mithilfe von solchen E-Mails, Nutzer auf Web-Seiten zu locken, auf denen Schadsoftware platziert ist. Diese Malware nutzt Sicherheitslücken von Browsern oder anderen Web-Anwendungen aus. Um auf sichere Webseiten zu gelangen ist es besser, die Adresse einzutippen und dabei »https://« statt nur »http://« einzugeben.
Tipps für Webseitenbetreiber
- Sichern Sie Ihre Kunden-Log-in-Seiten mit EV-SSL-Zertifikaten und informieren Sie Ihre Online-Kunden, dass eine grüne Schrift oder ein grüner Hintergrund in der Adresszeile des Browsers eine gesicherte Verbindung anzeigt.
- Bieten Sie niemals Kunden-Log-ins auf Seiten an, die in der Adresszeile mit http:// beginnen, sondern nur auf Seiten, die https:// in der Adresszeile anzeigen.
- Bieten Sie weitere Möglichkeiten für Ihre Kunden, um sich sicher anzumelden. Eine Zwei-Faktor-Authentifizierung, zusätzlich zum Log-in per Name und Passwort, erhöht die Sicherheit beim Zugriff auf Online-Konten.
- Verwenden Sie keine Links in E-Mails an Kunden und empfehlen Sie Ihnen, stets die neuesten Browser-Versionen einzusetzen.
Hintergrundinformationen zum Angriff auf SSL-Verbindungen
Bei dem Verfahren, das Moxie Marlinspike nutzte, handelt es sich um eine Mischung aus IT-Technik und »Social Engineering«. Der Sicherheitsexperte nutze eine selbst fabrizierte Proxy-Software namens »sslstrip«, um sichere https-Verbindungen auf ungesicherte http-Web-Seiten »umzupolen«.
Das Tool
Dabei machte sich Marlinspike zunutze, dass viele Internet-User nicht darauf achten, ob eine Web-Adresse mit einem »http« oder »https« beginnt. Bei der Demonstration auf der Black-Hat-Konferenz merkten etliche Web-Nutzer nicht, dass sie statt auf »https://www.meinebank.com/« auf »http://www.meinebank.com« landeten.
Mittlerweile ist eine Diskussion darüber ausgebrochen, ob EV-SSL-Zertifikate Man-in-the-Middle-Angriffe tatsächlich verhindern können. Rein technisch gesehen, lautet die Antwort »ja«.
Verwirrung durch Web-Seiten-Betreiber und Browser
Allerdings setzen Cyber-Gangster immer stärker auf den Faktor »Mensch«. Viele Internet-Nutzer können nichts mit Browser-Adressleisten anfangen, die sich grün einfärben, wie etwa beim IE 7 oder bei Firefox 3.x. Den wenigsten dürfte bekannt sein, dass dann eine sichere Verbindung zu einem Web-Server besteht.
Verwendet ein Unternehmen oder eine Organisation EV-SSL-Zertifikate,färbt sich die Adressleiste des Browsers grün ein, wenn eine Verbindungaufgebaut wird.
Hinzu kommt, dass etliche Browser auf unterschiedlich Weise anzeigen, dass eine sichere Verbindung mittels SSL aufgebaut wurde. Einige platzierten ein Schloss-Symbols vor die URL, andere färben das Adressfeld gelb oder rot ein. Selbst unterschiedliche Versionen desselben Browsers verwenden kein einheitliches Verfahren, etwa Firefox 2 und 3.
Fachleute fordern deshalb, dass sich die Browser-Anbieter auf ein Standardverfahren einigen sollten, das SSL-Connections für den Nutzer sichtbar macht. Ein weiterer Vorschlag: Banken, staatliche Einrichtungen und Online-Shops sollten generell dazu übergehen, generell https statt http zu verwenden. Eine Mixtur beider Techniken, die heute noch häufig anzutreffen ist, sei nicht akzeptabel. Sie würde Nutzer verwirren und Sicherheitsprobleme geradezu provozieren.
Moxie Marlinspike bietet sslstrip übrigens auf seiner Web-Seite Thoughtcrime [2] zum Herunterladen an. Dort steht auch der Vortrag des Fachmanns auf der Black-Hat-Konferenz zur Verfügung.
[1] http://www.verisign.de/
[2] http://www.thoughtcrime.org/software/sslstrip/
- 1. Seite: Praxistipp: Wie man sich vor Man-in-the-Middle-Angriffen schützt
- 2. Seite: Praxistipp: Wie man sich vor Man-in-the-Middle-Angriffen schützt (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.