Pudel-Lücke gefährdet SSL

Die Google-Ingenieure Bodo Möller, Thai Duong und Krzysztof Kotowicz haben eine perfide Sicherheitslücke in der Webverschlüsselung SSL entdeckt. Der Angriff nennt sich «Poodle» (Padding Oracle On Downgraded Legacy Encryption) und nutzt eine Browsereinstellung aus, die für mehr Kompatibilität sorgen soll.

Aktuelle Browser verwenden TLS für die Verschlüsselung von Daten. Da jedoch einige Internetnutzer und Server noch mit alten Betriebssystemen und Browsern online sind, kann jeder Browser bei Bedarf auf das veraltete SSL 3.0 zurückgreifen. «Poodle» nutzt genau diese Funktion, um den Browser auf SSL 3.0 zurückzustufen. SSL 3.0 kann ausgenutzt werden, um beispielsweise Nutzerdaten abzugreifen.

Der Angreifer muss für eine «Poodle»-Attacke im gleichen Netzwerk wie sein Opfer sein. Daher sind besonders öffentliche Netzwerke gefährdet. Der Angreifer infiltriert sein Opfer über die ungesicherte Verbindung und bringt den Browser dazu, bei gesicherten Verbindungen SSL 3.0 zu verwenden. Aus dieser Verbindung kann der Angreifer Byte für Byte das Session-Cookie des Opfers abgreifen. Dieses beinhaltet potenziell wichtige Daten wie Benutzernamen und Passwörter.

Zum Glück lässt sich «Poodle» relativ leicht aushebeln. Zumindest für Nutzer von Firefox und Internet Explorer. Für Chrome ist ein Update geplant. Kurzfristig gibt es jedoch nur ein etwas umständliches Workaround.

Firefox-User können einfach das Plug-In «SSL Version Control» installieren. Am 25. November erscheint zudem Firefox 34, in dem SSL 3.0 komplett deaktiviert wird.

Für Internet Explorer öffnen Sie die Internetoptionen (Start – Systemsteuerung – Internetoptionen) und wechseln zum Tab «Erweitert». Scrollen Sie dort nach unten, bis zum Abschnitt «Sicherheit» und entfernen Sie das Häkchen bei «SSL 3.0 verwenden».

Als Chrome-Nutzer gibt es derzeit zwei etwas unbefriedigende Varianten. Variante A ist, auf ein Update warten. Variante B deaktiviert SSL 3.0, jedoch nur, wenn Sie ein Desktop- oder Taskleisten-Icon für Chrome verwenden. Klicken Sie mit der rechten Maustaste auf das Desktop-Icon (Shift + Rechtsklick bei Taskleisten-Icons) von Chrome und wählen Sie «Eigenschaften». Klicken Sie in das Feld «Ziel» und bringen Sie Ihren Cursor an das Ende der Zeile. Tippen Sie einen Abstand und danach: «-ssl-version-min=tls1». Dieser Befehl gibt dem Browser an, mindestens TLS 1.0 als Verschlüsselung zu verwenden. Speichern Sie die Änderung mit «Übernehmen».

Wird SSL komplett deaktiviert, kann es sein, dass einige Webseiten nicht mehr verschlüsseln können. Davon betroffen sind jedoch weniger als 1 Prozent aller Webseiten und diese werden in den kommenden Tagen sowieso auf TLS upgraden müssen.