"Freak": Jahrzehnte alte US-Vorschrift verursacht Security-Problem

4. März 2015, 11:25
  • security
  • lücke
image

Das Security-Loch "Freak" betrifft Site-Betreiber sowie Apple- und Google-User. Die Schwachstelle löst eine Diskussion über behördlich vorgeschriebene Hintertüren aus.

Das Security-Loch "Freak" betrifft Site-Betreiber sowie Apple- und Google-User. Die Schwachstelle löst eine Diskussion über behördlich vorgeschriebene Hintertüren aus.
Security-Experten haben Details zu einem neu entdeckten, schwerwiegenden Security-Problem bekannt gegeben, wie die 'Washington Post' gestern berichtete. Die Schwachstelle ermöglicht es professionellen Hackern, verschlüsselt übertragene Daten abzufangen. Die Methode, um sie auszunützen, wurde von den Fachleuten "Factoring attack on RSA-Export Keys" genannt - abgekürzt "Freak". Hacker hätten die Schwachstelle theoretisch schon seit mehr als einem Jahrzehnt ausnützen können. Ob sie dies tatsächlich getan haben oder tun, ist nicht bekannt.
Gefährdet sind User des Safari-Browsers von Apple sowie des mit Googles Android oft mitgelieferten abgespeckten Internet-Browsers. Googles Chrome Browser ist dagegen nicht betroffen. Ausserdem könnten Hacker die Schwachstelle nützen, um die Kontrolle über Teile von Websites zu übernehmen, so die Experten. Laut einem Test der Universität Michigan sind rund ein Drittel aller verschlüsselten Websites verwundbar.
Sowohl Apple als auch Google haben sofort auf die Bekanntgabe reagiert. Apple will noch diese Woche einen Patch ausliefern, der das Loch in Safari stopft. Google hat ebenfalls bereits einen Patch für Android entwickelt. Wie lange es dauert, bis dieser bei den Usern ankommt, hängt aber von den jeweiligen Geräten beziehungsweise deren Herstellern ab, da diese bestimmen, wann Updates übertragen werden.
In den letzten Monaten wurden mehrere Sicherheitslücken bekannt, die schon seit vielen Jahren vorhanden waren. Beispiele sind "Ghost". Das Besondere an "Freak" aber ist, dass die Ursache laut den Experten nicht direkt ein Programmierfehler sondern eine alte Software-Exportvorschrift der USA ist. Diese hatte es US-Unternehmen in den 90er-Jahren verboten, zu starke Verschlüsselungssoftware ins Ausland zu liefern. Erlaubt war nur nur der Export von Programmen mit maximal 512 Bit-Verschlüsselung. Die Vorschrift wurde schon Ende der 90er-Jahre aufgehoben, hat aber nun späte Auswirkungen.
Zombies aus den 90ern
Mit der "Freak"-Methode können heutige Browser und Websites dazu gebracht werden, zur Übertragung von verschlüsselten Daten alte RSA-512-Schlüssel hervorzuklauben und zu verwenden. Dabei geht es spezifisch um Kommunikation, bei der das Public/Private-Key-Verfahren und RSA-Schlüssel verwendet wird. RSA-512-Bit-Schlüssel gelten schon seit mehr als einem Jahrzehnt als zu schwach, um Daten ernsthaft zu schützen. Sogar Experten hatten bisher geglaubt, dass die schwachen Schlüssel mittlerweile verschwunden sind. Aber offensichtlich stecken sie immer noch in den Tiefen auch von moderner Software.
"Es ist, als ob wir einen Zombie aus den 90ern gefunden haben" meinte die Security-Forscherin Nadia Heninger von der Universität Pennsylvania gegenüber der 'Post'. Heninger hat untersucht, wie gross der Aufwand ist, um heutzutage einen solchen 512-Bit-Schlüssel zu knacken. Das Resultat: Mit der Rechenkraft von etwa 75 normalen PCs brauchte sie dazu etwa sieben Stunden. Simple Hacker mit einem einzelnen PC dürften also kaum interessiert sein. Für ernsthafte Hacker mit spezialisierter Hardware, die zum Beispiel eine bestimmte Person ins Visier nehmen wollen, wäre der Aufwand aber ein Klacks. Heninger selbst hat die Rechenpower kurzfristig bei Amazon Webservices gemietet, und bezahlte dafür rund hundert Dollar.
Rechtsvorschriften schwächen Security
Die "Freak"-Sicherheitslücke löst eine neue Diskussion um staatliche Eingriffe in Security-Software aus. In den USA gibt es gegenwärtig Forderungen, Softwareunternehmen dazu zu zwingen, Hintertüren für Behörden in jede Verschlüsselungssoftware für Handys einzubauen. Wenn man so etwas tue, so meinte Mathew Green von der Johns Hopkins-Universität gegenüber der 'Post', baue man aber automatisch Komplexität in die Sofware ein, die auch von böswilligen Hackern ausgenützt werden könne. Auch Christopher Soghoian, Technologieexperte der "American Civil Liberties Union", äussert sich ähnlich: "Man kann nicht gleichzeitig einen sicheren und einen unsicheren Modus in Software haben. Wie es sich gezeigt hat, gefährden solche absichtlichen Schwachstellen letztendlich immer alle User." (Hans Jörg Maron)

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023
image

Datenleck bei der Fremdsprach-App Duolingo?

In einem Forum werden die Daten von 2,6 Millionen Accounts zum Verkauf angeboten. Doch das Unternehmen bestreitet eine Sicherheitsverletzung.

publiziert am 25.1.2023