Eine ausführliche Anleitung zum Verhindern von SSL-Stripping

Eine sichere Verbindung zu Websites ist unerlässlich, um sicherzustellen, dass vertrauliche Daten während der Übertragung nicht gestohlen werden. Dieser Prozess wird durch Secure Sockets Layer (SSL) über SSL-Zertifikate. Was ist ein SSL-Zertifikat, fragen Sie sich vielleicht? Ein SSL-Zertifikat verschiebt Ihre Verbindung von einem HTTP Verbindung zu einer HTTPS-Verbindung. HTTP oder Hypertext Transfer Protocol ist eine unsichere Verbindung zwischen einem Webbrowser und einer Website. Der Grund, warum HTTP so unsicher ist, liegt in seinem Mangel an Verschlüsselung von Daten, genau das macht HTTPS. HTTPS (Hypertext Transfer Protocol Secure) verschlüsselt Daten während der Übertragung, um sicherzustellen, dass diese Daten selbst bei einem Man-in-the-Middle-Angriff (MITM) für den Angreifer nicht lesbar sind. SSL-Stripping umgeht dies jedoch. Mit SSL-Stripping können Angreifer einen MITM-Angriff implementieren. Attacke und die Verbindung von einer HTTPS-Verbindung in eine ungeschützte HTTP-Verbindung umzuwandeln. Bevor wir uns ansehen, wie ein SSL-Strip funktioniert, müssen wir zunächst eine häufig gestellte Frage beantworten: Was ist SSL?

Secure Sockets Layer verstehen

Quelle 1: www.cloudflare.com

SSL, besser bekannt als Transport Layer Security (TLS) oder SSL/TLS, ist ein Verfahren zur Verschlüsselung des Datenverkehrs im Internet und zur Authentifizierung der Serveridentität. Diese Verschlüsselung erfolgt durch den TLS-Handshake. Wenn ein Benutzer versucht, sich über seinen Browser mit einem Webserver zu verbinden, initiiert er zunächst einen TCP-Handshake und anschließend einen TLS-Handshake zwischen Client und Server. Ein TCP-Handshake ist im Vergleich zu einem TLS-Handshake relativ einfach. Der TCP-Handshake beginnt mit einer SYN-Nachricht vom Client an den Server, wie im obigen Diagramm dargestellt. Eine SYN-Nachricht enthält eine vom Client festgelegte Sequenznummer, die vom Server durch Inkrementierung bestätigt wird. Die inkrementierte Sequenznummer wird an den Client gesendet, um den Empfang durch den Server zu bestätigen. Zusammen mit der inkrementierten Nummer sendet der Server auch seine eigene Sequenznummer zur Bestätigung durch den Client. Die bestätigte Sequenznummer des Clients sowie die Sequenznummer des Servers werden in einer Nachricht namens SYN/ACK gesendet. Der letzte Schritt eines TCP-Handshakes erfolgt, wenn der Client die Sequenznummer des Servers durch Inkrementierung in der ACK-Nachricht bestätigt.

Der TCP-Handshake ist unverschlüsselt, da er lediglich dazu dient, Client und Server zu verbinden. Die Verschlüsselung erfolgt beim TLS-Handshake. Ein TLS-Handshake umfasst mehrere Schritte, beginnend mit dem Client Hello:

1. Client-Hallo-Nachricht: Das Client Hello initiiert den Kontakt zwischen Client und Server. Der Client sendet eine „Hello“-Nachricht an den Server. Diese „Hello“-Nachricht enthält die für eine ordnungsgemäße TLS-Verbindung erforderlichen SSL/TLS-Informationen, einschließlich der SSL/TLS-Version und der vom Client für die Servernutzung unterstützten Verschlüsselungssammlungen sowie eine Zeichenfolge zufälliger Bytes, die als „Client Random“ bezeichnet wird.
2. Server-Hallo-Nachricht: Das Server-Hello wird als Antwort auf das Client-Hello gesendet. Das Server-Hello enthält das SSL-Zertifikat des Servers, die gewählte Verschlüsselungssuite des Servers und den „Server-Random“. Wie beim „Client-Random“ handelt es sich auch hier um eine zufällige Bytefolge.
3. Authentifizierung des SSL-Zertifikats des Servers: Im nächsten Schritt des TLS-Handshakes authentifiziert der Client, dass das SSL-Zertifikat des Servers gültig ist und tatsächlich der vom Server angegebenen Institution gehört. Dieser Vorgang erfolgt durch eine Anfrage des Clients an den Zertifizierungsstelle (CA) der die Bescheinigung und Überprüfung dieser Informationen.
4. Das Premaster-Geheimnis: Der Client sendet anschließend eine weitere zufällige Bytefolge an den Server, verschlüsselt mit dem öffentlichen Schlüssel des Servers. Jedes Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel, von denen jeder den öffentlichen Schlüssel kennt und der private Schlüssel nur dem Ersteller bekannt ist. Da nur der Besitzer des Schlüsselpaars den privaten Schlüssel kennt, kann alles, was mit dem öffentlichen Schlüssel des Servers verschlüsselt wurde, nur von diesem gelesen werden. entschlüsselt mit dem privaten Schlüssel des Servers. Dieser Schritt bietet eine weitere Möglichkeit, die Identität des Servers zu überprüfen.
5. Entschlüsselung des Premaster-Geheimnisses: Der private Schlüssel des Servers wird zum Entschlüsseln des Premaster-Geheimnisses verwendet, wodurch die Identität des Servers gegenüber dem Client verifiziert wird.
6. Sitzungsschlüssel erstellen: Mithilfe des „Client Random“, des „Server Random“ und des Premaster Secret generieren sowohl Client als auch Server einen Sitzungsschlüssel. Wenn Server und Client beide über die richtigen Schlüssel verfügen und somit die Person sind, für die sie sich ausgeben, sollten die erstellten Sitzungsschlüssel identisch sein.
7. Client-Fertigmeldung: Der Client sendet dem Server eine mit dem Sitzungsschlüssel verschlüsselte Nachricht mit dem Betreff „Fertig“. Wenn der Server derjenige ist, für den er sich ausgibt, sollte er die Nachricht entschlüsseln können, da er denselben Sitzungsschlüssel generiert haben sollte.
8. Server-Fertigmeldung: Der Server sendet dem Client eine mit dem Sitzungsschlüssel verschlüsselte Nachricht mit dem Betreff „Fertig“. Wenn der Client derjenige ist, für den er sich ausgibt, sollte er die Nachricht entschlüsseln können, da er denselben Sitzungsschlüssel generiert haben sollte.
9. Es wird eine sichere symmetrische Verschlüsselung verwendet: Verwenden Sie jetzt asymmetrische VerschlüsselungEs wird eine symmetrische Verschlüsselungsverbindung hergestellt. Asymmetrische Verschlüsselung erfordert die Verwendung zweier Schlüssel, während symmetrische Verschlüsselung nur einen Schlüssel benötigt. Client und Server verwenden nun den generierten Sitzungsschlüssel, um ihre gesamte Kommunikation symmetrisch zu verschlüsseln.

Nachdem wir nun die Frage beantwortet haben, was SSL ist, können wir uns ansehen, wie SSL-Stripping funktioniert.

SSL-Stripping

SSL-Stripping ist ein relativ einfacher Man-in-the-Middle-Angriff. Wie der Name schon sagt, wird beim SSL-Stripping eine HTTPS-Verbindung in eine HTTP-Verbindung umgewandelt. Der Angreifer schaltet sich dazu in die Verbindung zwischen Client und Server ein. Dadurch kann er den gesamten Datenverkehr zwischen Client und Server abfangen. Das SSL-Stripping findet beim Verbindungsaufbau mit dem unverschlüsselten TCP-Handshake statt. Der Benutzer sendet eine Anfrage an den Server, um eine Webseite aufzurufen, beispielsweise https://www.example.com. Der Angreifer fängt diese Nachricht ab, leitet sie aber trotzdem an den Empfänger weiter. Er sendet sie an den Server, um das SYN/ACK-Paket zu erhalten, das dieser nach Empfang der Webseitenanfrage an den Client sendet. Anschließend sendet der Angreifer die Webseitenverbindung zurück an den Client, jedoch nicht zur ursprünglich angeforderten Webseite, sondern zu http://www.example.com.

Da die Verbindung nun über HTTP statt HTTPS läuft, ist jede Nachricht, einschließlich sensibler Daten, die über diese Verbindung gesendet wird, für einen Man-in-the-Middle-Angreifer sichtbar. Dies umfasst Passwörter, Benutzernamen und Bankkontoinformationen, die der Nutzer übermittelt. Angreifer könnten zudem einen Proxy-Server mit einem ähnlichen Namen wie der angeforderte Server einrichten, um das Opfer mit Schadsoftware zu infizieren. Die Einrichtung eines Proxy-Servers mit SSL-Stripping ist eine deutlich effektivere Methode, Opfer zu verfolgen, als Phishing-Angriffe. Bei Phishing-Angriffen wird das Opfer dazu verleitet, eine scheinbar legitime Webseite zu besuchen, um so sensible, vom Opfer eingegebene Daten zu stehlen. Durch SSL-Stripping bemerkt der Nutzer möglicherweise nie, dass er Angreifern sensible Informationen preisgegeben hat. Angreifer können SSL-Stripping mithilfe von ARP-Spoofing, einem Proxy-Server oder über Hotspots implementieren. Nachdem wir nun die Funktionsweise von SSL-Stripping kennen, sehen wir uns an, wie man SSL-Stripping erkennt und sich davor schützt.

Erkennung und bewährte Methoden

SSL-Stripping lässt sich auf verschiedene Weise erkennen. Am offensichtlichsten ist es, die Webadresse in der Adressleiste zu überprüfen. Bei SSL-Stripping steht dort „http“ statt „https“. Außerdem ist das Schloss-Symbol links in der Adressleiste entweder nicht geöffnet oder rot, was bedeutet, dass die Verbindung nicht im gewünschten HTTPS-Format vorliegt. Ein weiteres Indiz für SSL-Stripping sind auffällige Designmerkmale der Website. Bei Verdacht auf SSL-Stripping können kleine Abweichungen von der Originalseite ein Hinweis sein. Dazu gehören beispielsweise leicht veränderte Firmenlogos, fehlende Unterseiten oder Rechtschreibfehler.

Sobald SSL-Stripping erkannt wird, gilt es, es sowohl jetzt als auch in Zukunft zu verhindern. Eine der besten Präventionsmethoden ist, Unregelmäßigkeiten in der Suchleiste oder auf Webseiten frühzeitig zu erkennen. Sobald Sie sich dieser Bedrohung bewusst sind, können Sie ständig nach SSL-Stripping-Angriffen Ausschau halten. Auch Ihre Mitarbeiter sollten sich dieser Gefahr bewusst sein, um sich und das Unternehmen vor SSL-Stripping zu schützen. Schulungen durch erfahrene Teammitglieder oder geschulte Fachkräfte tragen wesentlich zum Schutz sensibler Daten bei. Eine weitere Möglichkeit, Webbrowser vor SSL-Stripping zu schützen, ist die manuelle Eingabe der URL in die Suchleiste. Die meisten Man-in-the-Middle-Angriffe (MitM-Angriffe) beginnen mit Weiterleitungen von einer Webseite zur Zielwebseite. Durch diese Weiterleitung kann sich ein Angreifer in den Datenaustausch zwischen Client und Server einklinken. Indem Sie die URL manuell in die Suchleiste eingeben, verhindern Sie den MitM-Angriff von vornherein.

Browsererweiterungen sind eine weitere wirksame Methode, um sowohl Man-in-the-Middle-Angriffe als auch SSL-Stripping zu verhindern. Erweiterungen wie HTTPS Everywhere verwenden Domain- und Regellisten, um Seitenaufrufe über HTTPS-Verbindungen abzuwickeln. Das bedeutet, dass alle Zugriffe auf Webseiten ausschließlich über HTTPS erfolgen. Als Website-Administrator sollten Sie außerdem bestimmte Best Practices befolgen, um SSL-Stripping auf Ihrer Website zu verhindern. Die wichtigste Methode hierfür ist die Aktivierung von SSL auf der gesamten Website. Viele Angreifer nutzen Websites aus, bei denen SSL nur auf einer Seite aktiviert ist. Durch die Aktivierung von SSL auf der gesamten Website wird es Angreifern jedoch deutlich erschwert, SSL-Stripping durchzuführen. Auch Bilder und Links innerhalb von Webseiten sollten mit SSL-Zertifikaten geschützt werden.

Eine der wirksamsten Schutzmethoden gegen SSL-Stripping ist die Verwendung von HTTP Strict Transport Security (HSTS). HSTS ist eine Richtlinie, die Webseiten dazu verpflichtet, ausschließlich HTTPS-Verbindungen zuzulassen. Dadurch wird verhindert, dass Angreifer SSL-Stripping nutzen, um Nutzer über HTTP-Verbindungen mit Webseiten zu verbinden. Anfragen über HTTP werden automatisch auf eine HTTPS-Verbindung umgeleitet, sofern HSTS aktiviert ist. Sobald HSTS eingerichtet ist, kann Ihre Domain der HSTS-Preload-Liste hinzugefügt werden. Diese Liste wird von vielen Suchmaschinen, darunter Google Chrome, Mozilla Firefox und andere große Suchmaschinen, verwendet, um HTTP-Verbindungen zu diesem Browser zu verhindern. Die Preload-Liste umfasst neben der Domain Ihres Webbrowsers auch alle Subdomains und Top-Level-Domains. Bestimmte Top-Level-Domains (TLDs), wie z. B. .APP, sind standardmäßig in der Preload-Liste enthalten. Die APP-Website wird automatisch mit HTTPS verschlüsselt und niemals über HTTP.

Im Folgenden sind einige abschließende Schritte aufgeführt, die Sie in Ihrer Umgebung zum Schutz vor SSL-Stripping durchführen können:

•  Nutzung virtueller privater Netzwerke: Virtuelle private Netzwerke (VPNs) schützen Benutzerdaten auf Websites, unabhängig vom Verbindungstyp. Nutzt ein Benutzer ein VPN beim Besuch einer HTTP-Website, bleiben die Daten dank des VPNs verschlüsselt. Diese zusätzliche Sicherheitsebene kann sowohl ein ganzes Netzwerk als auch einzelne Benutzer schützen.
• Vermeidung von öffentlichem WLAN: Öffentliche WLAN-Hotspots, insbesondere an Flughäfen, eignen sich hervorragend für Man-in-the-Middle-Angriffe. Sensible Daten können leicht abgefangen oder Nutzer über öffentliches WLAN auf schädliche Webseiten umgeleitet werden.

• Cookies und Lesezeichen: Wenn Sie sich in einem vertrauenswürdigen Netzwerk befinden, speichern Sie Webseiten, auf denen Sie sensible Daten eingeben, als Lesezeichen. Sobald Sie eine Webseite mit HTTPS erreichen, beispielsweise die Webseite Ihrer Bank, speichern Sie diese sichere Webseite für die zukünftige Nutzung. Die gespeicherte Webseite verfügt dann immer über eine HTTPS-Verbindung. Zusätzlich stellt die Aktivierung sicherer Cookies sicher, dass alle Cookie-Daten sicher übertragen werden.

• Unbekannte Links und HTTPS: Die offensichtlichste, aber dennoch häufig genutzte Methode, SSL-Stripping zu verhindern, besteht darin, niemals auf verdächtige Links zu klicken und niemals eine Verbindung zu einer Website ohne HTTPS zu akzeptieren. Wenn eine Website eine HTTP-Verbindung hat, verlassen Sie die Website und geben Sie die URL erneut ein.

Wie Verschlüsselungsberatung Sie schützen kann

Eine Reihe unserer Dienstleistungen bei Encryption Consulting kann Ihr Unternehmen vor Angriffen wie SSL-Stripping schützen. Unsere Verschlüsselungsberatungsdienste Wir helfen Ihrem Unternehmen, Sicherheitslücken in Ihrer IT-Infrastruktur zu identifizieren, einschließlich fehlender oder abgelaufener SSL-Zertifikate. Anschließend entwickeln und implementieren wir einen Plan, der alle Ihre Sicherheitsprobleme abdeckt und Ihre sensiblen Daten vor Angreifern schützt. Bei Problemen mit SSL/TLS-Zertifikaten empfehlen wir die Verwendung von Zertifikatslebenszyklus Management-Tools oder Migration zu Cloud-PKI-Diensten. Einrichtung eines Public-Key-Infrastruktur (PKI) auf einer Cloud-PlattformDienste wie Amazon Web Services ermöglichen die Nutzung von AWS-SSL-Zertifikaten für eine besser verwaltete und geschützte Infrastruktur. Gemeinsam mit Ihren Teams entwickeln wir eine Strategie zur Verschlüsselung Ihrer Daten in jeder Phase, insbesondere ruhender und übertragener Daten, beispielsweise über eine HTTP-Verbindung. Unser Expertenteam implementiert unsere Verschlüsselungsstrategie exakt nach Ihren Unternehmensvorgaben und ermöglicht Ihnen dabei, Ihre Anforderungen individuell anzupassen.

Wir bieten auch unsere an Zertifikatslebenszyklusmanagement Dienstleistungen für Kunden. Encryption Consulting bietet ein breites Spektrum an Dienstleistungen im Bereich Zertifikatsmanagement – ​​von der Strategieentwicklung über die Implementierung bis hin zu Managed Services. Encryption Consulting kann zur Lösung der Probleme und Herausforderungen im Zusammenhang mit dem Zertifikatslebenszyklusmanagement beitragen, indem:

• Anforderungen festlegen und Architektur entwerfen
• Durchführen eines Netzwerkerkennungsscans
• Importieren vorhandener Zertifikate
• Konfigurieren von Richtlinien und Berichten
• Onboarding einer Reihe von Pilotanwendungen
• Vorbereitung der Betriebs- und Schulungsdokumentation
• Entwicklung eines Plans zur Behebung von Lücken
• Entwicklung eines Leitfadens für Prozesse/Abläufe und Angebot zertifizierter Schulungen

Mit unseren Certificate Lifecycle Management-Services unterstützen wir Sie bei der Überwachung und dem Schutz von SSL-Zertifikaten vor Ort und in der Cloud. Wir unterstützen Cloud-Zertifikatsdienste auf verschiedenen Plattformen, darunter AWS, Microsoft Azure und Google Cloud Platform (GCP).

Ein letzter Service, den wir anbieten und der Sie vor SSL-Stripping-Angriffen schützen kann, ist unser PKI-BewertungWir bieten Strategie- und Implementierungsdienstleistungen an. Mit diesem Service unterstützen wir Sie bei der Ermittlung der Anforderungen, die Ihr Unternehmen an seine PKI stellen sollte, um maximalen Schutz und Nutzen zu erzielen. In der Strategiephase erstellen wir einen Fahrplan, der Ihnen aufzeigt, wie Sie alle Ihre PKI-Anforderungen kostengünstig erfüllen können.

In der letzten Phase, der Implementierungsphase, erstellen wir die PKI basierend auf dem in der vorherigen Phase entwickelten Fahrplan. Unsere PKIs werden unter Berücksichtigung Ihrer Anforderungen entwickelt und entsprechen somit allen relevanten Standards wie FIPS 140-2 oder PCI DSS. Zusätzlich zu unseren Beratungsleistungen bieten wir unseren Kunden auch PKI-as-a-Service an. PKI-as-a-ServiceWir erstellen eine hybride PKI, deren Root-CA sich entweder in unserem Rechenzentrum in Dallas, Texas, oder in Ihren eigenen Räumlichkeiten befindet. Wir können Ihrer Organisation genau die Berechtigungen und Verwaltungsaufgaben zuweisen, die Sie benötigen. Auf Wunsch übernehmen wir auch die komplette Verwaltung Ihrer PKI.

Fazit

In unserem Leitfaden haben wir zahlreiche häufig gestellte Fragen beantwortet, beispielsweise was SSL und ein SSL-Zertifikat sind. Dabei haben wir ein besseres Verständnis dafür entwickelt, wie ein SSL-Handshake abläuft und wie Angreifer den ungesicherten TCP-Handshake vor dem SSL/TLS-Handshake manipulieren, um sensible Daten abzufangen, die über eine Verbindung übertragen werden. Wir haben auch gelernt, wie SSL-Stripping-Angriffe funktionieren und wie sie Informationen von Nutzern stehlen können. Selbst mit einem AWS-SSL-Zertifikat können Angreifer Man-in-the-Middle-Angriffe durchführen, um Ihre HTTPS-Verbindung in eine HTTP-Verbindung umzuwandeln. Angreifer nutzen Umleitungslinks und öffentliche WLAN-Hotspots, um Ihre Verbindung zu einer legitimen Website umzuleiten und Ihre Daten zu stehlen. Glücklicherweise gibt es verschiedene bewährte Methoden, die Sie oder Ihr Unternehmen implementieren können, um sich vor SSL-Stripping-Angriffen zu schützen. Virtuelle private Netzwerke (VPNs) sind eine hervorragende Methode, um SSL-Verbindungen zu schützen, da sie ein gesamtes Netzwerk abdecken und Ihre Daten unabhängig davon verschlüsseln, ob Sie über HTTP oder HTTPS auf eine Website zugreifen. Weitere, einfachere Methoden zum Schutz vor SSL-Stripping umfassen die Verwendung von Lesezeichen auf HTTPS-verschlüsselten Websites, die Aktivierung sicherer Cookies, das Vermeiden öffentlicher WLAN-Hotspots, das Nichtanklicken unbekannter Links und das Vermeiden des Besuchs von Websites ohne HTTPS-Verbindung. Eine weitere, bereits besprochene Möglichkeit zum Schutz Ihres Unternehmens ist die Inanspruchnahme der Datenschutzdienstleistungen von Encryption Consulting. Diese unterstützen Sie bei der Verwaltung Ihrer PKI und des Zertifikatslebenszyklus und helfen Ihnen, Sicherheitslücken in Ihrer Infrastruktur zu identifizieren und zu schließen.

Um mehr darüber zu erfahren, wie Encryption Consulting Ihre sensiblen Daten schützen kann, besuchen Sie unsere Website unter www.encryptionconsulting.com/