t3n News Infrastruktur

Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen

Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen

Vergesst , die neue Bedrohung für Daten im Netz heißt „Drown“. Forschern zufolge ist fast jeder dritte HTTPS-Server weltweit betroffen. Server-Betreiber sollten schnell reagieren.

Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen

Sicherheitslücke. (Bild: Shutterstock-Brian A Jackson)

Drown: Veraltetes Web-Protokoll macht Daten unsicher

Drown (Decrypting RSA with Obsolete and Weakened eNcryption) ist eine Sicherheitslücke in OpenSSL und soll betreffen, die das aus den 1990er-Jahren stammende Webprotokoll SSLv2 verwenden. Mit Hilfe der Drown-Attacke sollen sich Nutzernamen, Passwörter, Kreditkartendaten und weitere sensible Daten abgreifen lassen, die über eigentlich verschlüsselte Verbindungen (HTTPS) gesendet werden.

So funktioniert die Drown-Attacke über verschlüsselte Verbindungen. (Grafik: drownattack.com)
So funktioniert die Drown-Attacke über verschlüsselte Verbindungen. (Grafik: drownattack.com)

Sicherheitsforschern zufolge soll rund ein Drittel der HTTPS-Server weltweit von dem Problem betroffen sein, dazu zählen oder zählten bekannte Websites wie Yahoo, Alibaba, BuzzFeed oder Samsung. Verantwortlich für die Möglichkeit, die Drown-Attacke überhaupt ausführen zu können, sind den Forschern zufolge zwei Faktoren.

Drown-Schutz: Server-Betreiber sollten reagieren

So unterstützen überraschend viele Server immer noch das eigentlich veraltete SSLv2-Protokoll, zudem werden viele private Schlüssel für HTTPS-Verbindungen von mehreren Servern verwendet, von denen offenbar zumindest einer SSLv2-Verbindungen zulässt, wie Spiegel Online berichtet. Zum Schutz vor Drown sollten Server-Betreiber sicherstellen, dass ihre privaten Schlüssel nicht mit Serversoftware verwendet werden, die SSLv2-Verbindungen zulässt.

Drown-Attacke: Online-Test zeigt, ob deine Seite betroffen ist. (Screenshot: drownattack.com/t3n.de)
Drown-Attacke: Online-Test zeigt, ob deine Seite betroffen ist. (Screenshot: drownattack.com/t3n.de)

Eine Anleitung dazu, wie sich SSLv2 ausschalten lässt, steht auf einer eigens ins Netz gestellten Info-Seite für die Drown-Lücke bereit. Dort können Server-Betreiber auch testen, inwieweit sie davon betroffen sind. Als Privatnutzer hat man den Forschern zufolge keine Möglichkeit, sich vor einem Datenklau durch die Drown-Attacke zu schützen.

via thenextweb.com

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Server
Tausende Web-Server betroffen: Neue HTTPS-Sicherheitslücke aufgetaucht
Tausende Web-Server betroffen: Neue HTTPS-Sicherheitslücke aufgetaucht

Eine neue Sicherheitslücke erlaubt Angreifern das mitlesen von verschlüsselten Datenübertragungen. Betroffen sind Web- und Mail-Server aber auch Browser und andere Programme und Dienste, die auf … » weiterlesen

WordPress auf HTTPS: So stellst du deine Seite komplett um
WordPress auf HTTPS: So stellst du deine Seite komplett um

Eigentlich sollte es nicht schwer sein, eine CMS-Website von http auf HTTPS umzustellen – bei WordPress ist das aktuell aber noch mit ein bisschen Aufwand verbunden. Wie ihr eure WordPress-Website … » weiterlesen

Server absichern in 10 Minuten: Die wichtigsten Schritte für Admins
Server absichern in 10 Minuten: Die wichtigsten Schritte für Admins

Ein knapper aber informativer Guide erklärt euch, wie ihr einen Ubuntu-Server in zehn Minuten gegen potenzielle Gefahren absichert. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?