Schlimmer als Heartbleed?

Drown: SSL-Sicherheitslücke macht Millionen Webseiten angreifbar

Mit der sogenannten "Drown Attack" ist es Sicherheitsforschern gelungen, Millionen von Webseiten mit SSL-/TLS-Verschlüsselung zu knacken. Die Schwachstelle könnte noch schwerwiegender sein als der berüchtigte Heartbleed-Bug

© Drown

Die Drown-Schwachstelle ist potenziell gefährlicher als Heartbleed.

Eine Sicherheitslücke gefährdet derzeit mehrere Millionen Webseiten. Dies berichten Sicherheitsforscher, denen es gelungen ist, mit der sogenannten "Drown Attack" sämtliche Nutzerdaten von betroffenen Seiten zu erbeuten - darunter auch bekannte Webseiten wie Yahoo, Dailymotion und Buzzfeed.

Möglich gemacht wird dies durch die veraltete Verschlüsselungstechnik SSLv2. Deren Unsicherheit ist zwar hinlänglich bekannt und wird deshalb kaum noch genutzt, auf vielen Servern läuft SSLv2 aber dennoch im Hintergrund weiter. Diese Schwachstelle haben die Forscher nun ausgenutzt, wie sie auf ihrer Infoseite zur Drown-Attacke berichten.

Hierfür zeichnete das Team zunächst passiv den eigentlich sicheren TLS-Traffic auf. Im Anschluss erfolgte ein Serverangriff über SSLv2, mit dem das sogenannte Pre-Master-Secret geknackt wurde, womit eine Entschlüsselung des zuvor aufgezeichneten Datenverkehrs möglich ist. Der Zeitraum der Daten ist dabei unerheblich - selbst Jahre alter Verkehr lässt sich so problemlos dechiffrieren.

Die Drown-Attacke weist Parallelen zu einer ähnlichen Sicherheitslücke auf, die vor zwei Jahren das Netz unsicher gemacht hat: Bei der "Heartbleed" getauften Schwachstelle wurde die OpenSSL-Verschlüsselung geknackt, mehr als zwei Drittel aller Web-Server gefährdete.

Mehr zum Thema

Hackangriffe auf HTTPS

Auf der Black Hat 2014 zeigte Antoine Delignat-Lavaud verschiedene Hackerangriffe, die Sicherheitsprobleme in Verschlüsselungsprotokollen offenbaren.
Mega-Passwort-Diebstahl

Nach dem Datendiebstahl von über 1,2 Milliarden Profildaten deutet alles darauf hin, dass die von CyberVor geklauten Login-Daten aktiv genutzt werden.
Sichere Whatsapp-Alternative

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.
Schwerwiegende Sicherheitslücke

Besitzer eines Netgear-Routers wurden möglicherweise gehackt. Die verantwortliche Sicherheitslücke ist dem Unternehmen bereits seit Monaten bekannt.