Was sind SSL Stripping-Angriffe?

SSL Stripping-Angriffe (auch bekannt als SSL Downgrade- oder HTTP-Downgrade-Angriffe) sind eine Art von Cyberangriff, bei dem Hacker eine Webverbindung von dem sichereren HTTPS auf das weniger sichere HTTP herunterstufen. Dadurch wird die gesamte Kommunikation unverschlüsselt und schafft die Voraussetzungen für einen "Man-in-the-Middle"-Angriff, bei dem der Hacker in der Mitte eines Gesprächs sitzt und Informationen abhört oder abfängt. SSL stripping kann zu Sicherheitsrisiken führen, wie z. B. dem Abhören privater Informationen durch Hacker oder sogar dem Verändern von Daten oder Kommunikation ohne das Wissen der rechtmäßigen Nutzer.

In diesem Artikel erfahren Sie alles, was Sie über die SSL Stripping-Angriffe wissen müssen, einschließlich:

• Was sind SSL Stripping-Angriffe?
• Wie funktionieren die SSL Stripping-Angriffe?
• Was sind Beispiele dafür, wie SSL Stripping-Angriffe funktionieren?
• Was sind die potenziellen Risiken von SSL Stripping-Angriffen?
• Wie können Sie sich gegen SSL Stripping-Angriffe schützen?

Jede Verbindung zu einer Website erfordert ein Anwendungsprotokoll, das entweder HTTP oder HTTPS ist. HTTP ist weniger sicher, weil es Informationen im Klartext überträgt, während HTTPS sicherer ist, weil es alle Informationen verschlüsselt. HTTPS verschlüsselt Informationen durch die Verwendung von SSL/TLS, das wie ein digitales Zertifikat funktioniert, das Identitäten authentifizieren und Daten verschlüsseln kann.

SSL Stripping-Angriffe treten auf, wenn ein Hacker in die Verbindung zwischen einem Benutzer und einer Website eingreift. Der Hacker setzt sich in die Mitte der Verbindung, verbindet sich mit der HTTPS-Version der Website und verbindet den Benutzer mit der HTTP-Version der Website. Auf diese Weise können sie alles, was der Benutzer sagt, in unverschlüsselter Form sehen.

Moxie Marlinsplike, ein Computersicherheitsforscher, warnte erstmals auf einer Veranstaltung zur Informationssicherheit im Jahr 2009 vor den Möglichkeiten für Hacker, SSL auszuschlachten. Er wies darauf hin, dass diese Art von Angriff eine erhebliche Bedrohung für die Sicherheit darstellt, da Hacker ihn unbemerkt und in Echtzeit auf jeder beliebigen Website ausführen können - unabhängig von den Sicherheitsprotokollen, die auf der Website eingerichtet sind.

Wenn Benutzer eine Website besuchen, stellen sie zunächst eine Verbindung mit der HTTP-Version her, bevor sie auf die HTTPS-Version umgeleitet werden. Bei SSL Stripping-Angriffen springen Hacker in dieses Fenster und verhindern, dass die Benutzer jemals eine Verbindung mit der HTTPS-Version der Website herstellen können.

Jede Internetverbindung ist zu Beginn unsicher. Die Nutzer müssen eine Website mit der HTTP-Version besuchen, bevor sie eine Authentifizierung vornehmen können, um zur sicheren HTTPS-Version überzugehen. Diese Schritte dienen dazu, die Privatsphäre zu schützen und die Legitimität der an der Verbindung beteiligten Personen zu überprüfen.

Hacker können die SSL -Verbindung "ausschalten", indem sie sich in diesen Prozess einschleusen. Dabei agieren sie als Mittelsmann, indem sie eine eigene HTTPS-Verbindung mit der Website aufbauen (und sich als der Benutzer ausgeben) und die HTTP-Verbindung mit dem Benutzer aufrechterhalten (und sich als die Website ausgeben). Sobald sie diese Verbindungen hergestellt haben, können sie sich mitten in das Gespräch setzen und alles, was der Benutzer auf der Website eingibt, im Klartext abrufen. In diesem Fall geben die Benutzer nicht nur Informationen im Klartext an eine illegale Quelle weiter, sondern erhalten im Gegenzug möglicherweise auch verfälschte Antworten (da der Hacker die Kommunikation von der legitimen Website zurückverfolgen kann).

Im Allgemeinen gibt es drei Möglichkeiten, wie sich Hacker den nötigen Zugang verschaffen können, um SSL Stripping-Angriffe auszuführen:

• Proxy-Server: Hacker können den Browser-Proxy eines Benutzers manuell so einstellen, dass der gesamte Datenverkehr an ihren eigenen externen Server weitergeleitet wird. Das bedeutet, dass jede Webanfrage des Nutzers an den Hacker weitergeleitet wird, der dann die Kontrolle übernehmen und auf der Grundlage jeder Anfrage manipulative Verbindungen herstellen kann.
• ARP-Spoofing: Hacker stellen über eine gefälschte ARP-Nachricht (Address Resolution Protocol) eine Verbindung zur IP-Adresse eines Benutzers her. Sobald sie auf diese Weise eine Verbindung herstellen, können sie alle Daten empfangen, die für die IP-Adresse des rechtmäßigen Benutzers bestimmt sind.
• Zugang zum Netzwerk: Hacker können ein gefälschtes öffentliches WLAN-Netzwerk erstellen, und sobald die Benutzer eine Verbindung zu diesem Netzwerk herstellen, können sie die gesamte Kommunikation in diesem Netzwerk kontrollieren. Wenn sich Hacker Zugang zu einem sicheren Netzwerk verschaffen können, können sie den Angriff auf ähnliche Weise durchführen.

SSL Strippenzieher-Angriffe können zahlreiche Formen annehmen, aber hier sind drei Beispiele dafür, wie sie in der Praxis funktionieren können.

Alice arbeitet in ihrem Unternehmen im Kundendienst und muss eine Website besuchen, die sie häufig nutzt, um einige Details über die letzten Kundengespräche einzugeben, die sie geführt hat. Ohne es zu wissen, bleibt sie auf der HTTP-Version der Website, anstatt sich bei der HTTPS-Version der Website zu authentifizieren, weil ein Hacker in der Mitte dieser Verbindung sitzt. Jetzt wird alles, was sie eingibt, unverschlüsselt weitergegeben, so dass der Hacker es direkt sehen kann.

Im Laufe ihrer Arbeit gibt Alice Informationen über ihre Kunden ein, darunter deren vollständige Namen, Adressen und Kontonummern. Der Hacker, der auf der anderen Seite sitzt, hat nun Zugang zu diesen Informationen und kann sich damit als diese Kunden ausgeben.

Bob möchte online einkaufen, während er in einem Café sitzt. Also verbindet er sich mit dem öffentlichen WLAN-Netz des Ladens und besucht seine bevorzugte eCommerce-Website. Die Seiten mit den Hemden, die er sich ansieht, haben kein Vorhängeschloss in der URL-Leiste, um anzuzeigen, dass sie sicher sind, aber er denkt, dass das in Ordnung ist, da er sich die Hemden nur ansieht und keine Informationen eingibt. 

Nachdem er einige Zeit auf der Website verbracht hat, findet er drei Hemden, die ihm gefallen, und legt sie in seinen Warenkorb. Zu diesem Zeitpunkt hat er das fehlende Vorhängeschloss vergessen und gibt seine Kreditkartendaten und die Rechnungsadresse ein, um die Transaktion abzuschließen. Nachdem 50.000 Dollar in betrügerischer Absicht abgebucht wurden, erfährt Bob, dass ein Hacker seine Verbindung mit der sicheren Version der E-Commerce-Website unterbrochen hat, wodurch Bobs Kreditkartendaten und Rechnungsadresse bekannt wurden.

Mary arbeitet in der Finanzabteilung ihres Unternehmens und wird gebeten, einem Kunden eine Rückerstattung zu gewähren. Sie geht auf die Kunden-Community-Website des Unternehmens, um dem Kunden eine Nachricht über den Zeitpunkt der Rückerstattung zu senden und zu bestätigen, dass sie die richtigen Informationen darüber hat, wohin die Rückerstattung zu senden ist. Der Kunde antwortet, dass er ein neues Konto hat, und fragt, ob sie die Rückerstattung stattdessen dorthin schicken kann. Sie sendet einen Test, um das Konto zu überprüfen, und stellt dann die Erstattung entsprechend aus.

Was Mary im Laufe dieses Gesprächs nicht bemerkte, war, dass sie sich auf einer unsicheren HTTP-Version der Kunden-Community befand und nicht auf der sicheren HTTPS-Version. Es stellte sich heraus, dass ein Hacker zuvor einen Proxy-Server auf ihrem Computer eingerichtet hatte, um den gesamten Datenverkehr zu seinem eigenen Server zu leiten, wodurch er die SSL auf ihrer Verbindung zur Kunden-Community entfernen konnte. Sobald der Hacker diese Verbindung hergestellt hatte, fing er Marys Kommunikation ab und übermittelte seine eigenen Kontodaten, um die Rückerstattung zu erhalten, während er sich gegenüber dem tatsächlichen Kunden als Mary ausgab und ihm mitteilte, dass das Unternehmen nicht in der Lage sei, die Rückerstattung zu leisten.

SSL Stripping-Angriffe sind extrem gefährlich, weil sie oft ohne das Wissen des Benutzers ablaufen können. Das bedeutet, dass die Benutzer ihr Verhalten nicht ändern, weil sie nicht merken, dass eigentlich etwas nicht stimmt. Auf dem Weg dorthin stellen diese Angriffe ernsthafte Risiken dar, darunter:

Bei SSL -Stripping-Angriffen ist alles, was Benutzer an eine Website senden, für Hacker und andere Personen zugänglich, da es im Klartext und nicht verschlüsselt gesendet wird. Dies kann leicht zu gestohlenen Informationen führen, einschließlich geistigem Eigentum und sensiblen, persönlich identifizierbaren Informationen über den Benutzer oder die Kunden eines Unternehmens...

SSL Stripping-Angriffe ermöglichen es Hackern nicht nur, Informationen abzufangen, die Nutzer an eine Website senden, sondern auch den umgekehrten Weg zu gehen und die Kommunikation von der Website zurück zum Nutzer zu verändern.

Dies bedeutet, dass die Nutzer möglicherweise falsche Mitteilungen von der Website zurückerhalten, weil sie während der Übertragung durch den Hacker verändert wurden. Der Erhalt falscher Informationen kann dazu führen, dass die Nutzer völlig anders handeln, als sie es getan hätten, was sowohl für Einzelpersonen als auch für Unternehmen eine Reihe von Gefahren mit sich bringt.

Der Diebstahl der Anmeldedaten von Benutzern durch einen Man-in-the-Middle-Angriff kann Hackern auch Zugang zu einer beliebigen Anzahl weiterer Systeme verschaffen. Das bedeutet, dass selbst wenn nur ein System für einen Angriff anfällig ist, andere, sicherere Systeme dadurch anfälliger werden könnten. In dieser Situation müssen die Sicherheitsteams der Unternehmen sicherstellen, dass es keine Schwachstelle gibt, egal wie trivial ein bestimmter Verbindungspunkt auch erscheinen mag.

Trotz der ernsten Gefahr, die von SSL -Stripping-Angriffen ausgeht, gibt es mehrere Maßnahmen, die Unternehmen zum Schutz vor solchen Angriffen ergreifen können. Einige der besten Möglichkeiten zum Schutz vor SSL Stripping-Angriffen sind:

Es ist üblich, SSL auf allen Webseiten zu aktivieren, die die Eingabe von Informationen erfordern, was ein guter Anfang ist. Am besten ist es jedoch, SSL auf der gesamten Website zu aktivieren - auch auf Seiten, auf denen keine Eingaben erforderlich sind -, um einen umfassenderen Schutz zu gewährleisten und Schlupflöcher beim Übergang von HTTP zu HTTPS zu vermeiden.

Wenn Sie SSL standortweit aktivieren, weisen moderne Browser die Benutzer sogar auf ein Problem hin, wenn sie das Zertifikat der Website nicht verifizieren können, um eine Verbindung über HTTPS herzustellen. Auf diese Weise werden die Nutzer gewarnt, dass die Fortsetzung der Verbindung sie anfällig für Angriffe machen könnte.

HSTS steht für HTTP Strict Transport Security und schafft eine Richtlinie, die besagt, dass der Browser keine Seite öffnen soll, die keine HTTPS-Verbindung hat, und die Benutzer von der HTTP-Version der Website auf die HTTPS-Version der Website umleiten soll, wenn möglich. Die Implementierung dieser Art von Richtlinie auf allen unternehmenseigenen Geräten verhindert, dass Benutzer ungesicherte Websites besuchen, da sie nicht in der Lage sind, eine Seite mit einer HTTP-Verbindung zu öffnen.

Alle Websites verwenden Cookies, um Benutzer während ihrer Sitzung zu identifizieren und zu speichern. Die Aktivierung von sicheren Cookies für alle Benutzer Ihres Unternehmens bedeutet, dass alle von ihren Browsern verwendeten Cookies sichere Attribute haben und nur über sichere HTTPS-Verbindungen und nicht über unsichere HTTP-Verbindungen gesendet werden können.

Schließlich kann auch die Aufklärung der Nutzer über potenzielle Sicherheitslücken viel bewirken. Einer der wichtigsten Punkte bei der Aufklärung ist die Anweisung an die Nutzer, sich nicht mit öffentlichen WLAN-Netzwerken zu verbinden und stattdessen immer eine VPN-Verbindung zu nutzen. Darüber hinaus ist es hilfreich, den Nutzern Warnzeichen mitzuteilen, wie z. B. die Aufforderung, die URL jeder von ihnen besuchten Website zu überprüfen, um sicherzustellen, dass sie HTTPS statt HTTP anzeigt, und auf das Vorhängeschloss in der URL-Leiste zu achten, das entsperrt oder rot ist, wenn die Verbindung nicht sicher ist.