Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Infrastruktur

Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen

    Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen

Sicherheitslücke. (Bild: Shutterstock-Brian A Jackson)

Vergesst Heartbleed, die neue Bedrohung für Daten im Netz heißt „Drown“. Forschern zufolge ist fast jeder dritte HTTPS-Server weltweit betroffen. Server-Betreiber sollten schnell reagieren.

Drown: Veraltetes Web-Protokoll macht Daten unsicher

Drown (Decrypting RSA with Obsolete and Weakened eNcryption) ist eine Sicherheitslücke in OpenSSL und soll Server betreffen, die das aus den 1990er-Jahren stammende Webprotokoll SSLv2 verwenden. Mit Hilfe der Drown-Attacke sollen sich Nutzernamen, Passwörter, Kreditkartendaten und weitere sensible Daten abgreifen lassen, die über eigentlich verschlüsselte Verbindungen (HTTPS) gesendet werden.

So funktioniert die Drown-Attacke über verschlüsselte Verbindungen. (Grafik: drownattack.com)
So funktioniert die Drown-Attacke über verschlüsselte Verbindungen. (Grafik: drownattack.com)

Sicherheitsforschern zufolge soll rund ein Drittel der HTTPS-Server weltweit von dem Problem betroffen sein, dazu zählen oder zählten bekannte Websites wie Yahoo, Alibaba, BuzzFeed oder Samsung. Verantwortlich für die Möglichkeit, die Drown-Attacke überhaupt ausführen zu können, sind den Forschern zufolge zwei Faktoren.

Drown-Schutz: Server-Betreiber sollten reagieren

So unterstützen überraschend viele Server immer noch das eigentlich veraltete SSLv2-Protokoll, zudem werden viele private Schlüssel für HTTPS-Verbindungen von mehreren Servern verwendet, von denen offenbar zumindest einer SSLv2-Verbindungen zulässt, wie Spiegel Online berichtet. Zum Schutz vor Drown sollten Server-Betreiber sicherstellen, dass ihre privaten Schlüssel nicht mit Serversoftware verwendet werden, die SSLv2-Verbindungen zulässt.

Drown-Attacke: Online-Test zeigt, ob deine Seite betroffen ist. (Screenshot: drownattack.com/t3n.de)
Drown-Attacke: Online-Test zeigt, ob deine Seite betroffen ist. (Screenshot: drownattack.com/t3n.de)

Eine Anleitung dazu, wie sich SSLv2 ausschalten lässt, steht auf einer eigens ins Netz gestellten Info-Seite für die Drown-Lücke bereit. Dort können Server-Betreiber auch testen, inwieweit sie davon betroffen sind. Als Privatnutzer hat man den Forschern zufolge keine Möglichkeit, sich vor einem Datenklau durch die Drown-Attacke zu schützen.

via thenextweb.com

Schreib den ersten Kommentar!

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen