FREAK: Sicherheitslücke, weil die USA es so wollten
Alexander Trust, den 4. März 2015Apple, Google und andere Hersteller, die auf OpenSSL/TLS vertrauen, sind derzeit daran, eine Sicherheitslücke zu schließen, die von deren Findern den Title „FREAK“ erhielt. Sie entstand nur, weil die USA es so wollten.
Vor vielen Jahren, in den Anfängen des WWW, gab es bereits Verschlüsselungstechnologie für Internetverbindungen. Doch US-Firmen wie Apple, Google oder Microsoft durften ihre Schlüssel nicht 1:1 an ausländische Kunden weitergeben, jedenfalls durften diese nicht die gleiche Bit-Stärke haben, wie diejenigen, die in den USA verwendet wurden. Das verbot ein Gesetz. Diese Maßnahme gilt schon lange nicht mehr, doch hat sie seit Ende der 90er Jahre viele Nutzer einer Sicherheitslücke ausgesetzt, wie nun bekannt wurde.
Webseiten für Ausländer unsicher
Nicht-US-Bürger, die mit Browsern auf vermeintlich verschlüsselte Webseiten zugegriffen haben, tun dies noch heute mit Schlüsseln, die eine verhältnismäßig schwache Bit-Stärke aufweisen, weil seit Ende der 90er Jahre die Software-Hersteller nicht auf die Idee kamen, diese trotz Ende der US-Auflage auszutauschen gegen höherwertigere Schlüssel und weil die Software noch immer Ausländer und US-Bürger anders behandelt und ersteren einen RSA-Export-Key andreht.
Erst in den letzten Wochen haben Forscher herausgefunden, dass man die Verschlüsselung von gefährdeten Nutzern, wenn sie entsprechende Webseiten besuchten, binnen einiger Stunden knacken konnte, und Zugriff auf Passwörter und andere persönliche Informationen haben.
Politische Entscheidungen zu Ungunsten der Sicherheit
Craig Timberg von der Washington Post beschreibt, dass diese Sicherheitslücke das Ergebnis von Regierungsauflagen sei, deren Konsequenzen frustrierte US-Regierungsmitglieder nicht überblicken konnten.
„The problem illuminates the danger of unintended security consequences at a time when top U.S. officials, frustrated by increasingly strong forms of encryption on smartphones, have called for technology companies to provide ‚doors‘ into systems to protect the ability of law enforcement and intelligence agencies to conduct surveillance.“
Craig Timberg
Forscher, die sich mit dem Thema auseinander gesetzt haben, waren überrascht, dass immer noch die schwachen 512-Bit Schlüssel im Einsatz seien. Nadia Henninger von der Universität von Pennsylvania nannte die Sicherheitslücke einen Zombie aus den 90ern.
Henninger konnte einen solchen 512-Bit Schlüssel binnen 7 Stunden entschlüsseln, der dann sogenannte „Man in the Middle“-Attacken erlaubte. Sie nutzte dazu Ressourcen aus der Cloud von Amazon Web Services. Das könnten Hacker genauso, und zwar von überall auf der Welt, solange sie nur Internet-Zugriff haben.
Millionen Webseiten betroffen
Mehr als ein Drittel aller verschlüsselten Webseiten sollen für solche Attacken offen sein, fand man bei Versuchen an der Universität von Michigan heraus. Bis zum gestrigen Dienstag waren von einer Liste von 14 Millionen verschlüsselter Webseiten insgesamt, rund 5 Millionen noch immer anfällig für diese Attacke. Zu ihnen zählen solche von Nachrichtenportalen wie Business Insider oder Bloomberg oder Kreditkartenunternehmen wie American Express. Aber auch Groupon oder der URL-Kürzungsdienst TinyUrl sind offen für Attacken, genauso wie Giga und Testberichte aus Deutschland.
Die Sicherheitslücke wurde seit Bekanntwerden bei US-Regierungsseiten des FBI oder des Weißen Hauses mittlerweile geschlossen, doch die Webseite der NSA soll noch immer unsicher sein.
Apple bietet Update kommende Woche
Apple will laut Sprecherin Trudy Miller in der kommenden Woche einen Sicherheitspatch für iOS und OS X veröffentlichen. Während Googles Chrome Browser für die Attacke nicht empfänglich ist, ist es der Standard Android-Browser durchaus. Google hat bereits einen Patch erstellt und ihn an seine „Partner“ ausgeteilt. Das heißt jedoch lediglich, dass manche Android-Kunden Wochen oder Monate warten müssen, bis ihr Hersteller der Wahl den Patch einspielt und womöglich wird es, wie in anderen Fällen bekannt, Geräte geben, die gar kein Update erhalten.