SSL auf Abwegen: Schutztechnologie als Angriffsvektor

Dez 10, 2015 | Radware
SSL auf Abwegen: Schutztechnologie als Angriffsvektor

Traurige Realität: Manchmal werden eigentlich nützliche Dinge für schädliche Zwecke missbraucht. Ein Beispiel sind etwa die vielen Berichte über Kriminelle, die mithilfe der „Street View“-Ansicht von Google Maps potenzielle Einbruchsziele ausspionieren, oder auch der Einsatz von 3D-Druckern zum Herstellen unregistrierter Schusswaffen.
Die Verwendung von Technologie für Gutes oder Böses hängt tatsächlich vor allem mit dem Blickwinkel des Nutzers zusammen.

Auf dem Gebiet der Informationssicherheit ist das nicht anders – es gibt viele Beispiele für DDoS-Angriffe (Distributed Denial of Service), bei denen verschiedene Elemente der Netzwerkinfrastruktur quasi in Waffen verwandelt werden.

Schon laufen Diskussionen darüber, dass mit den künftigen Milliarden Geräten, die im Internet der Dinge vernetzt sind, ein Mega-Bot für derartige Angriffe geschaffen werden könnte.

Gute Technologie für schlechte Zwecke

Im DDoS-Bereich gibt es ein weiteres wichtiges Beispiel für die Kombination aus guter Technologie und schlechtem Einsatzzweck, und dabei besteht eine noch stärkere unmittelbare Relevanz: SSL-Angriffe (Secure Sockets Layer) bzw. verschlüsselte Angriffe.

Wenn Sie diesen Text lesen, wissen Sie mit ziemlicher Sicherheit über die bisherige Entwicklung von SSL Bescheid. Es handelt sich um das Standardverfahren für die Kommunikationsabsicherung, das bei Online-Interaktionen für mehr Vertrauen sorgt. Immer häufiger wird SSL allerdings eingesetzt, um eine Maskierung zu erreichen und die Erkennung von Angriffstraffic bei Bedrohungen auf der Netzwerk- und Anwendungsebene zu erschweren.

SSL based protection against cyber attacks

Laut dem Global Network and Application Security Report 2015 von Radware handelt es sich bei 25 Prozent der aktuellen Angriffsaktivitäten um SSL-basierte Angriffe.

Herausforderungen bei SSL-Angriffen

SSL-Angriffe sind aus mehreren Gründen besonders aggressiv: Erstens machen Sie den Prozess des Erkennens von Angriffen in Abgrenzung zu legitimem verschlüsseltem Datenverkehr erheblich komplizierter. Zweitens ist für die Eindämmung von (einmal erkannten) SSL-Angriffen sehr viel mehr Rechenleistung zum Verarbeiten des verschlüsselten Datenverkehrs erforderlich. Die meisten Technologielösungen tun sich mit dieser Art von Angriff deshalb schwer. Nur wenige sind den Herausforderungen der Erkennung gewachsen, und noch weniger kommen mit den exponentiell steigenden Anforderungen der Abschwächung von SSL-Angriffen und der damit verbundenen Datenverarbeitung zurecht, ohne dass die Gesamtleistung darunter leidet. Ein letzter Aspekt: Bei vielen Lösungen wird die SSL-Zertifikatsverwaltung beeinträchtigt, wenn verschlüsselter Traffic zu verarbeiten ist.

Wenn es beispielsweise bei jeder Modifikation eines Anwendungszertifikats erforderlich ist, die Schutzmaßnahmen anzupassen, kann dies für die meisten Sicherheitsteams schnell zu einer unüberschaubaren Anforderung werden. Internetnutzer, Datenschutzverfechter und auch Technologieanbieter drängen alle darauf, dass ein umfassender Einsatz von SSL bei Endanwendern angeregt werden sollte. Das auf Untersuchungen zur Internetsicherheit spezialisierte Unternehmen Netcraft ließ verlauten, dass der Einsatz von SSL bei den eine Million führenden Websites in den vergangenen zwei Jahren um 48 Prozent zugenommen hat. Andere Initiativen, etwa das Projekt „Let’s Encrypt“, bauen eine neue, freie Zertifizierungsstelle auf, um mehr Nutzer für Verschlüsselung bei Online-Kommunikation und Online-Handel zu gewinnen.

Was können Sie tun?

Bei Radware stufen wir SSL-Angriffe als eine der größten künftigen Herausforderungen für unsere Branche, da diese Angriffe sehr komplex sind und der Einsatz von Verschlüsselung allgemein stark zunimmt.

Vielleicht möchten Sie mehr über das Thema erfahren – wir haben kürzlich die Arbeit an einem E-Book zu SSL-Angriffen abgeschlossen. Unter anderem werden darin die verschiedenen Arten von SSL-Angriffen erläutert, und es werden Strategien für einen effektiven Schutz vorgestellt.

Laden Sie das E-Book SSL Attacks on the Rise: Protective Technology Turned Attack Vector herunter.

Radware
© 2008-2019 Radware, Ltd. All rights reserved.