Contact
QR code for the current URL

Story Box-ID: 552097

mgm security partners GmbH Frankfurter Ring 105a 80807 München, Germany http://www.mgm-sp.com
Contact Mr Joachim Dreher +49 821 444800
Company logo of mgm security partners GmbH
mgm security partners GmbH

SecureNet-Analyse: Aushebeln von SSL-Verschlüsselung im Web weiterhin leicht möglich

SecureNet untersucht die Verbreitung des Schutzmechanismus HSTS (HTTP Strict Transport Security)

(PresseBox) (München, )
Angreifern gelingt es immer wieder, die Kennwörter für Webanwendungen wie Online‐Banking, Webmail‐Konten oder Businessportale trotz eigentlich vorhandener Verschlüsselung (https) auszuspähen. Zwar gibt es in Form einer HTTP-Header-Direktive einen Schutzmechanismus, doch den wenden weniger als 0,5% der Websites an, beim Onlinebanking deutscher Banken sieht lediglich ein einziges Institut ausreichenden Schutz vor. Zu diesem alarmierenden Ergebnis kommt der Münchener Spezialist für Anwendungssicherheit SecureNet in einer neuen Untersuchung.

Die Schwachstelle, über die Angreifer die SSL-Verschlüsselung im Browser ausschalten können, ist seit 2009 bekannt. Die Folge eines solchen Angriffs ist der komplette Verlust der Vertraulichkeit: Bankkonto-, Email- und Social Network-Zugangsdaten gelangen dabei ebenso in die Hände des Angreifers wie Kreditkartendaten oder vertrauliche Geschäftsinformationen. Ebenfalls seit 2009 gibt es einen Schutzmechanismus unter der Bezeichnung HTTP Strict Transport Security (HSTS), mit dem Serverbetreiber die Gefahr der erfolgreichen Durchführung eines solchen Angriffs auf ein Minimum reduzieren können. Dennoch stellte SecureNet bei der Untersuchung der Verbreitung der Header-Direktive fest, dass international weniger als 0,5% und in Deutschland weniger als 0,1% der Websites ihre Benutzer damit schützen. Bei den deutschen Banken sind es 7 von 424 Sites, die den Header einsetzen. Die Untersuchung umfasst die gemäß der "Alexa Top 1.000.000"-Liste rund 40.000 meistbesuchten deutschen und eine Million internationalen Sites, sowie speziell das Online-Banking-Login von ausgewählten deutschen Banken. Rund 10% der Alexa "Top 1,000,000 Sites" verwenden auch das HTTPS-Protokoll, aber davon wurde insgesamt nur in 410 Fällen eine HSTS-Direktive im Header ausgeliefert - eine Verbreitung von HSTS von unter 0,5%.

Für die Wirksamkeit des Schutzes ist die eingestellte Gültigkeitsdauer des Headers von großer Bedeutung: Ist diese kurz, so ist die Wahrscheinlichkeit entsprechend hoch, dass der Schutz bereits abgelaufen ist, wenn der Benutzer in die ungeschützte Umgebung gerät, z. B. beim Zugriff über einen WLAN-Hotspot im Hotel. Auch hier zeigen sich erschreckende Unzulänglichkeiten: Von den 12 deutschen Domains, die eine gültige HSTS-Direktive im Header ausliefern, erfüllten nur fünf Sites die Minimalanforderung von 30 Tagen Gültigkeit. Bei sechs von nur sieben Banken-Sites in Deutschland, die den Header einsetzen, ist die Gültigkeitsdauer zu kurz und somit der Schutz wirkungslos.

Best Practices als Zwischenlösung

"Solange HSTS nicht standardmäßig zum Einsatz kommt, sollten Unternehmen, die verhindern wollen, dass ihre Mitarbeiter zum Sicherheitsrisiko werden, die Laptops und Homeoffice‐PCs der Mitarbeiter per VPN ins Unternehmens‐LAN zwingen", empfiehlt Thomas Schreiber, Geschäftsführer der SecureNet GmbH. "Denn dann geht jeder Verbindungsaufbau des Browsers, unabhängig davon, ob http oder https, unangreifbar durch den geschützten Kanal ins Firmennetz und von dort aus zum jeweiligen Webserver." Des weiteren ist es ratsam, Microsofts IE9 und auch den brandneuen IE10 für den Zugang zu kritischen Webanwendungen nicht zu verwenden, da beide Browser-Versionen HSTS nicht unterstützen, so der SecureNet-Sicherheitsspezialist.

Nicht gefährdet sind mobile Apps, die für den Serverzugriff fest eingebaute Links verwenden, in der Regel bei einer Native App der Fall. Wird hingegen das Zugriffsziel als URL in der Serverantwort ermittelt, besteht dasselbe Problem wie bei den Browsern.

Die detaillierte Untersuchung kann unter http://www.securenet.de/... heruntergeladen werden. . Wie leicht man im Internet selbst zum Opfer eines solchen Angriffs werden kann, zeigt ein Video unter http://www.youtube.com/....

Website Promotion

Website Promotion

mgm security partners GmbH

Die SecureNet GmbH ist Softwarehaus und Rundum-Dienstleister für Web Application Security. Seit 8 Jahren führt die SecureNet GmbH Penetrationstests, Codeanalysen sowie umfassende Beratung zum Aufbau der Softwaresicherheit durch. In Best-Practice Inhouse-Seminaren gibt die SecureNet ihre Erfahrungen an Entwickler, Sicherheits- und Fachverantwortliche weiter.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.