Go to Top

Freak out!

Das Hypertext-Übertragungsprotokoll HTTP (Hypertext Transfer Protocol) dient der Datenübermittlung zwischen Browser und Server – allerdings ist es ein „offenes“ Protokoll, die Inhalte der geschickten Datenpakete sind für jeden lesbar, der Zugang zum Netz hat. HTTPS ist die sichere verschlüsselte Version des Kommunikationsprotokolls – oder sollte es sein. Da HTTPS durch mehrere Anfragen zwischen Server und Browser inklusive Verschlüsselung der Daten sowohl Server wie auch Netz belastet, wird serverseitig zwischen unterschiedlich starken Verschlüsselungen ausgewählt.

Nun wurde bekannt, dass es möglich ist, unter bestimmten Bedingungen anfällige Server zu zwingen, eine uralte Verschlüsselungstechnik anzuwenden, die schon 1999 geknackt wurde. Der Name der Sicherheitslücke lautet „Freak“ (Factoring Attack on RSA-Export Keys). Betroffen sind Mobiltelefone von Apple und Smartphones mit Android-Betriebssystemen, die sich bei Servern einwählen, die diese Möglichkeit zulassen. Aber auch Desktop-Geräte sind nicht gefeit, wobei die neuesten Browserversionen die unsichere Verschlüsselung nicht verwenden sollen – unrühmliche Ausnahme ist der Microsoft-Browser Internet Explorer.

Es geht hier nicht nur um ein paar wenige Server, die betroffen sind. Bei 37 Prozent aller Webseiten weltweit, die eigentlich eine verschlüsselte Verbindung zum Browser aufbauen sollten (die Adresse beginnt dann nicht mit „http“ sondern mit „https“ und es taucht das Symbol einen Schlosses auf) könnten versierte Hacker den Verbindungsaufbau so zu manipulieren, dass zum Beispiel eingegebene Passwörter mitgelesen werden können. Pikant: Auch die Seiten der NSA und des FBI sollen betroffen sein. Eine Liste der (zum Teil wohlbekannten) Websites findet sich unter freakattack.com.

Zwar gibt es keinen Anlass zur Panik, sagen die Experten, aber es erstaunt doch immer wieder, wie solche Sicherheitslecks zum Teil jahre- oder jahrzehntelang existieren können. Im vorliegenden Fall könnte man sogar von „mutwillig“ oder „fahrlässig“ sprechen, kam die Problematik doch in den 1990ern auf, weil die USA keine High-Tech-Kryptographie ins Ausland liefern wollten und daher als Alternative die veraltetet schwache Verschlüsselungstechnik benutzt werden musste – sowohl Server als auch Browser müssen die gleiche Technik einsetzen, um wirkungsvoll zu verschlüsseln.

All zu viele Verbindungen sollen angeblich nicht geknackt worden sein, dauert es doch mindestens sieben Stunden, um auch die uralte Technologie zu überwinden. Aber es ist ja bekannt, es wird ausgenutzt, was immer möglich ist. Und schließlich hatten kriminelle Elemente mehr als zwei Jahrzehnte Zeit, sich damit zu befassen.

Bildquelle: nemo/pixabay