DROWN zeigt es erneut: Serverupdates sind mehr als ein Luxus

Ein Managed Server kann vor unangenehmen Situationen schützen. Erst kürzlich ist ein Sicherheitsproblem gefunden worden, das als DROWN-Attacke durch die einschlägige Presse gegangen ist. Das Bundesamt für Sicherheit in der Informationstechnologie hat eine Liste von verletzbaren Servern zusammengestellt. Viele IP-Adressen waren darauf zu finden.

Das Bundesamt für Sicherheit in der Informationstechnologie hat am 4.März 2016 eine Meldung herausgegeben, wonach eine veraltete Verschlüsselungskomponente zu einem Sicherheitsproblem werden kann:  Wenn der Server noch SSLv2 unterstützt, ist ein sogenannter DROWN-Angriff möglich. Das Sicherheitsprotokoll SSLv2 ist mehr als 20 Jahre alt und sollte eigentlich gar nicht mehr verwendet werden. Übrigens: Bei goneo gibt es schon lange auf keinem Server SSLv2 mehr. Dennoch findet man im Internet viele Server, die SSLv2 als Protokoll noch anbieten, wenn die Gegenseite es möchte.

Sicher haben die Namensgeber von „Drown“ die akustische Nähe zu „drone“ (englisch für „Drohne“) im Sinn gehabt, möglicherweise, um die Drastik zu unterstreichen. Dabei ist DROWN das Akronym für Decrypting RSA with Obsolete and Weakened eNcryption.

Dazu wurde auch eine Liste mit IP-Adressen verschickt, allerdings nur an Hoster. Etwa 800 Serverbetreiber in Deutschland seien betroffen, teilt das BSI mit. Andere Quellen sprechen von 17 Prozent aller Server, die SSLv2 anbieten.

Das Fatale ist, dass, wenn ein Server SSLv2 und TLS-Verbindungen ermöglicht, man als Hacker, der einen Teil der TLS-Verbindung mitgeschnitten hat und eine SSLv2-Verbindung herstellen kann, in der Lage ist, einen Teil des Schlüssels herauszufinden, den Pre-Master-Secret. Damit kann man am  Schlüsselaustauschalgorithmus RSA ansetzen.

Das ist zwar nicht ganz unaufwendig, aber mit ungefähr 400 bis 500 Euro käme man hin, wenn man die Rechenzeit bei einem Cloudserverdienst einkaufen würde. Wenn auch noch eine alte OpenSSL-Variante zum Einsatz kommt, wird der Angriff erleichtert. Ist dies geschafft, kann man aufgezeichneten, verschlüsselten Datenverkehr im Nachhinein beliebig entschlüsseln.

Die Betreiber der Server wurden direkt oder über ihre Hosting-Dienstleister informiert. In diesem Prozess wurde die Gesamtliste teilweise öffentlich. Einige Betreiber fühlten sich dadurch bloßgestellt.

Dieses Vorkommnis zeigt, dass die Notwendigkeit für Serverupdates mehr ist als ein Luxusproblem.

Als Serverbetreiber gerät man gewissermaßen in den Fokus und der eigene Server steht dann auf einer Art „schwarzen Liste“. Unangenehm ist dabei: Eine staatliche Behörde stellt fest, dass man einen unsicheren Server betreibt. Sollte es zum Schaden kommen, könnte man eventuell Leichtfertigkeit oder fährlässiges Handeln im Umgang mit dem System unterstellt bekommen, wenn man sich um dieses ausgewiesene Sicherheitsproblem nicht kümmert oder kümmern kann.

In der Praxis sieht es so aus, dass viele Server kurz nach Mietbeginn, nach Buchung, mit einer Standardinstallation aufgesetzt werden, bestehend aus einem Stapel aus Betriebssystem wie Debian oder Suse Linux, einer Webserversoftware wie Apache und einer Anwendung.  Nach einigen Konfigurationen und Anpassungen beginnt dann auch schon der produktive Betrieb. Dann läuft Magento darauf, WordPress, vielleicht auch ownCloud. Die Webanwendungen werden vielleicht noch regelmäßig aktualisiert, weil man als Anwender permanent damit zu tun hat. Aber wer kümmert sich um das Serverbetriebssystem?

Es ist nur eine Frage der Zeit: Irgendwann werden Sicherheitslücken entdeckt, oft von Sicherheitsfirmen wie im DROWN-Fall, oft aber auch von kriminellen Hackern, und spätestens dann müsste das Problem beseitigt werden.

In vielen Fällen ist den Betreibern, deren Aufmerksamkeit eher auf die Webanwendung gerichtet ist, das Sicherheitsproblem gar nicht bewusst bis einige Warnungen eintreffen, so wie im Falle der jüngsten Meldung des BSI. Und wenn die Warnung eintrifft, dann steht im Haus überhaupt nicht das Know How bereit, um die Sicherheitslücken schließen zu können. Das „Full Technical Paper“ zum DROWN-Problem ist schließlich hinreichend komplex (hier als PDF verfügbar) .

Im Falle der DROWN-Attacke wird als Lösung des Sicherheitsproblems vorgeschlagen, auf OpenSSL 1.0.2g upzudaten.  Und dafür sind nun Kenntnisse in Linux gefragt. Sie müssen sich per SSH mit dem Server verbinden und mit einer Konsole arbeiten. Ungeübte können damit durchaus einen Arbeitstage verbringen.

Da dies nicht jedermanns Sache ist, sollte man – wenn man sich nicht explizt mit diesen Dingen auseinander setzen will – einen Managed Server buchen. Das ist für einen produktiven Einsatz einer bestimmten Webanwendung wie eines CMS oder eines Onlineshops eine gute Alternative.

Bei goneo gibt es Managed Virtual Server ab 13,95 Euro im Monat. Managed Server sind auch als dedizierte Hardware verfügbar (ab 39 Euro im Monat).

Werden solche Sicherheitsprobleme bekannt, können wir als Anbieter schnell reagieren und alle Server unter unserer Kontrolle updaten oder patchen. Zudem ist die Wahrscheinlichkeit höher, dass eine schwache Verschlüsselung gar nicht zu Einsatz kommen kann und das Problem gar nicht erst entsteht.

Nicht immer ist man auf der sicheren Seite, da man nie weiß, was Hacker sich alles eingallen lassen. Das hat die Heartbleed-Schwachstelle gezeigt. Aber immerhin ist für schnelle Reaktion gesorgt.

Dieser Beitrag wurde unter Managed Server, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.