Statement zu FREAK von Rapid7
Warnendes Signal gegen absichtliche Schwächung von Verschlüsselungsstandards!
„Das Entscheidende daran ist, dass Microsoft Schannel – das Windows-Pendant von OpenSSL – auch anfällig ist für Cipher-Downgrade-Angriffe durch aktive Angreifer. Dies ist nicht besonders überraschend, angesichts Microsofts traditioneller Rolle als Softwareanbieter für Regierungsinstitutionen auf der ganzen Welt; es wäre seltsam, wenn Windows nicht mit den geschwächten Export-Chiffren, die den Angriff in erster Linie ermöglicht haben, ausgeliefert werden würde.
Während FREAK ein wirklicher Programmierbug ist und die Techniken, die von INRIA verwendet werden, hervorragende Beispiele für Kryptografie-Forschung sind, sind die praktischen Auswirkungen des Fehlers noch sehr begrenzt. Einige Analysen charakterisieren die Angreifer als „Lauscher“, aber das bedeutet eine passive Haltung. Der Angreifer muss aktiv eine bestimmte TLS-Verbindung stören, um die Anfälligkeit auszulösen. Daher ist als Grundvoraussetzung eine ganze Menge Vorbereitungsarbeit nötig, um dies zu erreichen.
Aufgrund der aktiven Man-in-the-Middle-Anforderung kann dieser Fehler ziemlich nützlich sein für Spione, die auf bestimmte Benutzer in sonst stark abgesicherten Netzwerkumgebungen abzielen. Für typische Internet-Kriminelle ist der Fehler aber nicht besonders nützlich, da es viel einfachere Methoden auf verschiedenen Raffinesse-Ebenen gibt, um Benutzerverkehr umzuleiten und abzufangen.
Generell zeigt FREAK uns die Gefahr absichtliche Kryptografie-Backdoors. Dieser Fehler ist eine Nebenwirkung einiger schlechter politischer Entscheidungen vor Jahrzehnten und sollte als warnendes Signal gegen absichtliche Schwächung von Verschlüsselungsstandards dienen. Egal, wie verlockend ein „goldener Schlüssel“ für die Entschlüsselung erscheinen mag, ist es praktisch unmöglich, dies tatsächlich umsetzen, ohne dass dabei weit verbreitete, unvorhersehbare Schwachstellen auftauchen.“
Tod Beardsley, Engineering Manager, Rapid7 (http://www.rapid7.com)
Rapid7 Sicherheitsanalyselösungen reduzieren das Bedrohungspotenzial und erkennen kompromittierte Accounts & User für 3.000 Organisationen in 78 Ländern, darunter mehr als 250 der Fortune-1000. Wir verstehen die Mentalität und Denkweise der Angreifer besser als jeder andere, dieses spezielle „know how“ haben wir in unsere Lösungen eingearbeitet, um das Risikomanagement zu verbessern und Bedrohungen schneller zu stoppen. Wir bieten „best in class“ Lösungen für Schwachstellenmanagement, Penetrationstests, Kontrollbewertung und Vorfallserkennung, sowie die Analyse aller Assets und Benutzer in virtuellen, mobilen, privaten und öffentlichen Cloud-Netzwerken.
