Versteckte SSL-Angriffe

Verschlüsselung SSL https
Anzeige

Beitrag teilen

SSL-Angriffe: Nach der massenhafte Einführung von Technologien werden immer Sicherheitslücken bekannt, die auch Angreifer perfekt auszunutzen. Die Verschlüsselungstechnologie SSL bildet keine Ausnahme von dieser Regel und hat eine große Anzahl publizierter Schwachstellen gezeigt, die die Benutzer zwingen, auf neue, sicherere Versionen und letztendlich auf ein Ersatzprotokoll wie Transport Layer Security (TLS) umzusteigen.

Die Ausnutzung neu identifizierter Schwachstellen ist jedoch nicht die einzige Art und Weise, in der SSL als Waffe in den Händen böswilliger Angreifer genutzt wird. Nach Erkenntnissen von Radware werden SSL-Angriffe immer häufiger eingesetzt, um die Erkennung des Angriffsverkehrs sowohl bei Bedrohungen auf Netzwerk- als auch auf Anwendungsebene zu verschleiern und weiter zu erschweren.

Anzeige

SSL-Angriffe: Viele Formen

SSL-Angriffe sind bei Angreifern beliebt, da nur eine kleine Anzahl von Paketen erforderlich ist, um einen Denial-of-Service für einen ziemlich großen Dienst zu verursachen. Angreifer starten Angriffe, die SSL verwenden, weil jeder SSL-Sitzungs-Handshake 15 Mal mehr Ressourcen auf dem Server als auf dem Client verbraucht. Infolge dieses Verstärkungseffekts kann selbst ein kleiner Angriff zu lähmendem Schaden führen.

SSL-basierte Angriffe nehmen viele Formen an, unter anderem:

  • Verschlüsselte SYN Floods. Diese Angriffe ähneln in ihrer Art den normalen, nicht verschlüsselten SYN-Flood-Angriffen, indem sie die vorhandenen Ressourcen erschöpfen, um den SYN-ACK-Handshake zu vervollständigen. Der Unterschied besteht darin, dass diese Angriffe die Herausforderung noch komplizierter machen, indem sie den Verkehr verschlüsseln und die Verwendung von SSL-Handshake-Ressourcen erzwingen.
  • SSL-Neuverhandlung. Solche Attacken initiieren einen regulären SSL-Handshake und verlangen sofort die Neuverhandlung des Schlüssels. Das Tool wiederholt diese Neuverhandlungsanforderung ständig, bis alle Server-Ressourcen erschöpft sind.
  • HTTPS Floods. Erzeugen Floods von verschlüsseltem HTTP-Verkehr, oft als Teil von Multi-Vektor-Angriffskampagnen. Zu den Auswirkungen „normaler“ HTTP Floods kommen bei verschlüsselten HTTP-Angriffen noch einige andere Herausforderungen hinzu, wie z. B. die Belastung durch Ver- und Entschlüsselungsmechanismen.
  • Verschlüsselte Angriffe auf Webanwendungen. Kampagnen für Multi-Vektor-Angriffe nutzen zunehmend auch Angriffe auf Webanwendungslogiken, die nicht auf DoS basieren. Durch die Verschlüsselung des Datenverkehrs passieren diese Angriffe oft unbemerkt von Abwehrmaßnahmen gegen DDoS und Schutzmechanismen für Webanwendungen.

Erschwerte Erkennung und Eindämmung

Auf die gleiche Weise, wie SSL und Verschlüsselung die Integrität legitimer Kommunikation schützen, verschleiern sie auch viele Attribute des Datenverkehrs, mit denen festgestellt wird, ob es sich um böswilligen oder legitimen Datenverkehr handelt. „Das Identifizieren bösartigen Traffics innerhalb verschlüsselter Verkehrsströme gleicht dem Auffinden einer Nadel im Heuhaufen im Dunkeln“, so Michael Tullius, Managing Director DACH von Radware. „Die meisten Sicherheitslösungen haben Mühe, potenziell böswilligen Verkehr aus verschlüsselten Verkehrsquellen zu identifizieren und für weitere Analysen und eine potenzielle Schadensbegrenzung zu isolieren.“

Anzeige

Viele Lösungen, die ein gewisses Maß an Entschlüsselung leisten können, tendieren dazu, sich auf eine Begrenzung der Anforderungsrate zu verlassen, was dazu führt, dass der Angriff effektiv beendet wird. Allerdings wird dabei auch legitimer Datenverkehr blockiert. Schließlich erfordern viele Lösungen, dass der Kunde Serverzertifikate teilen muss, was die Implementierung und Zertifikatsverwaltung erschwert.

Schutz vor SSL-Angriffen

Die bedauerliche Realität ist, dass die Mehrheit der DDoS-Angriffsschutzlösungen nur Schutz für bestimmte Arten von Angriffen bietet und in vielen Fällen mit SSL-Angriffen zu kämpfen hat. Um einen wirksamen Schutz zu bieten, müssen die Lösungen unter dem Strich eine vollständige Abdeckung der Angriffsvektoren (einschließlich SSL) und eine hohe Skalierbarkeit bieten, um den wachsenden Anforderungen gerecht zu werden und wirksamen Schutz zu bieten. Insbesondere muss die Abwehr gegen SSL-Attacken alle gängigen Versionen von SSL und TLS unterstützen und einen asymmetrischen Einsatz ermöglichen, bei dem nur der eingehende verschlüsselte Datenverkehr die Mitigations-Engine durchläuft. Zudem sollte sie verdächtigen verschlüsselten Datenverkehr mithilfe einer Verhaltensanalyse isolieren, um die Auswirkungen auf legitime Benutzer zu begrenzen. Schließlich sollte eine solche Lösung erweiterte Challenge-/Response-Mechanismen zur Validierung von verschlüsseltem Datenverkehr bieten, der als verdächtig gekennzeichnet ist, sich aber nur auf die erste Benutzersitzung auswirkt.

Mehr dazu bei Radware.com

 


Über Radware

Radware (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.


 

Passende Artikel zum Thema

Cyberabwehr mit KI: 3 von 4 Unternehmen setzen bereits darauf 

Bei der Cyberabwehr steht KI bereits an vorderster Front: 74 Prozent der deutschen Unternehmen setzen KI bereits in der Cyberabwehr ➡ Weiterlesen

Sind Unternehmen gegen quantengestützten Cyberangriffe gerüstet?

Der Q-Day wird zur realen Bedrohung. Der neue Report zeigt, wie sich Unternehmen vorbereiten. „Q-Day“ bezeichnet den Tag, an dem ➡ Weiterlesen

Ransomware-Erpressung: Fast jedes zweite Unternehmen zahlt

Der neue „State of Ransomware 2025“-Report von Sophos bestätigt eine durchschnittliche Lösegeldzahlung von 1 Million US-Dollar (€ 869.591). Neu ist, ➡ Weiterlesen

Der Data Act steht vor der Tür

In etwas mehr als 60 Tagen müssen die Unternehmen den Data Act umgesetzt haben – doch die große Mehrheit der ➡ Weiterlesen

Cybersicherheit im Einkauf: Kostendruck und fehlende Standards

Cybersicherheit: Die größten strukturellen Defizite liegen in der Standardisierung von Sicherheitskriterien und der strategischen Gewichtung von Sicherheit gegenüber Kosten. Große ➡ Weiterlesen

Report: Russland intensiviert Cyberangriffe

Der neue APT Activity Report zeigt, dass Russland seine Cyberangriffe immer mehr intensiviert. Der Report von ESET zeigt aktuelle Kampagnen ➡ Weiterlesen

DORA: Digitale Sicherheit im Finanzsektor schaffen

Die europäischen Verordnungen DORA und NIS2 fordern den Aufbau einer digitalen Sicherheitskultur. Das bedeutet für die Finanzbranche, dass sie Maßnahmen ➡ Weiterlesen

Geschäfts-Boom mit bösartigen KI-Modellen im Darknet

Die Geschäfte mit bösartigen KI-Modellen im Darknet laufen auf Hochtouren. Ein neuer Report wirft ein Licht auf illegale Machenschaften mit ➡ Weiterlesen