Ralf Krauter: Was haben diese Sicherheitsforscher gemacht?
Peter Welchering: Die haben ein zweites Web-Protokoll ausgenutzt. Wenn ich eine Verbindung zu meinem Bankserver aufbaue, dann bin ich der Kunde, der Klient, und der Bankserver ist der Dienstleister, der Server. Wie die Verbindung dann genau zustande kommt, das regelt ein weiteres Web-Protokoll. Und dieses Web-Protokoll haben sich die beiden israelischen Sicherheitsforscher zunutze gemacht, um die Verschlüsselung des Https-Protokolls auszuhebeln.
Krauter: Ist dann der gesamte Datenverkehr zwischen meinem Laptop und dem Bankserver einsehbar?
Welchering: Nein, mitgelesen werden kann nur das, was in der ersten Browserzeile steht, also die sogenannte URL. Und dann kommt es darauf an, was in der Browserzeile steht. Wenn da nur steht www.onlineserver.de, dann ist das nicht weiter problematisch. Denn Web-Adressen dieser Art nutzen auch Kriminellen nicht sehr viel. Aber in diese Browserzeile wird meist viel mehr an Informationen gepackt. Dropbox und Google nutzen diese Browserzeile, um so eine Art Sicherheits-Token oder Passwort mit auszuliefern. Diese Sicherheitspasswörter oder Tokens werden dann einfach mit ein paar Prozentzeichen und Kaufmanns- und Und-Zeichen an die Webadresse angehängt. Und das machen auch einige Bankenserver und Server von Online-Händlern. Die schicken meinem Laptop eine Zugangsbestätigung zurück. Und meine Browser antwortet darauf dann, indem er eine Sicherheits-ID an den Online-Server schickt. Die wird in so einem Fall in der ersten Browserzeile übertragen. Ist normalerweise verschlüsselt, aber wenn der von Itzik Kotler und Amit Klein entwickelte Angriff mit dem Web-Protokoll WPAD durchgeführt wird, dann wird diese erste Browserzeile eben unverschlüsselt in einer Protokolldatei aufgerufen.
Krauter: Was wird denn alles an Daten in dieser ersten Browserzeile, mit diesem URL übermittelt?
Benutzernamen und Passwörter werden sichtbar
Welchering: Das hängt immer von der Serversoftware ab. Da können Passwörter drin stecken. Da können Benutzernamen mit überspielt werden. Da werden sehr oft sogenannte Session-IDs darüber transportiert. So eine Session-ID ist eine Art Sitzungsausweis, der erlaubt es, dass bei einem kleinen Verbindungsabbruch nicht mehr die gesamte Anmeldeprozedur wiederholt werden muss, sondern nur die diese Sitzungsnummer abgefragt wird. Also das können sehr sensible Informationen sein.
Krauter: Was kann denn ein Online-Krimineller mit diesen Informationen anfangen?
Welchering: Der kann sich gegenüber Dropbox oder Google als der Nutzer ausgeben, der die Zugangsberechtigung für einen Dropbox-Zugang erhalten hat. Der kann mit den Angaben, die im URL, also in der ersten Browserzeile enthalten sind, auf meinen Zugang beim Bankserver zugreifen. Je nachdem welche Zugangsdaten per URL übermittelt wurden, hat er sofort Zugriff auf mein Online-Bankkonto, oder er muss sich noch weitere Informationen beschaffen. Das hängt davon ab, welche Zugangsdaten der Bankserver eben über die URL transportieren lässt.
Anwender können sich selbst nicht schützen
Krauter: Wie kann man sich davor schützen, dass diese Sicherheitslücke im Web-Protokoll ausgenutzt wird?
Welchering: Also Amit Klein meint, der Anwender könne sich selbst gar nicht schützen. Der Fehler steckt ja in diesem Web-Protokoll namens WPAD. Übrigens ein sehr altes Protokoll. Das ist 1999 schon eingeführt worden. Diese Sicherheitslücke muss geschlossen werden. Die Browserhersteller, die können schon jetzt etwas tun. So hat etwa Microsoft beim Internet Explorer eine Programmzeile eingefügt, die verhindert, dass der gesamte URL aufgerufen wird. Der Aufruf wird da auf den reinen Aufruf des Hostnamens der Web-Seite beschränkt. Also die Softwareanbieter müssen hier tätig werden, und das ziemlich dringend. Zum Zweiten muss die Serversoftware angepasst werden. Die sollte eben nicht sensible Informationen wie Zugangsdaten über den URL, über die erste Browserzeile transportieren. Das muss auch geändert werden.
Krauter: Wenn ich mit Buchhaltungssoftware arbeite oder mit einer Bankensoftware, die nach dem sogenannten HBCI-Standard arbeitet, dann betrifft mich das aber doch nicht, oder?
Welchering: Das habe ich nach der Präsentation von Itzik Kotler und Amit Klein auch erst gedacht. Die äußern sich allerdings zu HBCI-Software und anderen Bankenanwendungen nicht. Wenn man da aber mal genauer nachgräbt, dann stößt man darauf, dass diese HBCI-Software die Verbindung zum Bankserver über zwei unterschiedliche Wege aufbauen kann. Zum einen über einen eigens eingerichteten Web Port. Da läuft dieser Angriff ins Leere. Das ist also von dieser Protokoll-Sicherheitslücke, die ausgenutzt wird, nicht betroffen. Zum andern aber kann HBCI-Bankensoftware auch eine Https-Verbindung aufbauen, die die Informationen verschickt, die in der ersten Browserzeile eingegeben wird, also den sogenannten Uniform Ressource Locator. Das ist die Web-Adresse plus Zusatzinformationen. Wenn so eine Verbindung von der HBCI-Software aufgebaut wird, dann ist die auch von diesem Angriff betroffen.