Edward Snowden löste im Sommer 2013 mit seinen Enthüllungen die NSA-Affäre aus. Seine Veröffentlichungen zeigten das Ausmaß der weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten auf. Damit schockierte der Whistleblower die ganze Welt.
Seitdem hat sich viel getan: Infrastruktur-Verantwortliche, Service-Provider und Privatanwender verschlüsseln ihre Daten in vollem Umfang. Dass Unternehmen und deren Kunden aber dennoch nicht auf der sicheren Seite sind, zeigen jüngste Erkenntnisse.
Foto: hywards - shutterstock.com
Unser Sicherheitsforscher Radu Caragea hat festgestellt, dass man mit dem Protokoll Transport Layer Security (TLS) auch verschlüsselte Kommunikation in Echtzeit entschlüsseln kann – und das sogar, ohne Spuren zu hinterlassen.
Auch Sicherheitsexperten sind kaum in der Lage, die Entschlüsselungs-Technologie zu entdecken.
Aufgefallen ist diese Angriffsmöglichkeit, als wir einen Weg gesucht haben, bösartige Outbound-Aktivitäten auf unseren Honeypot-Netzwerken zu untersuchen. Dabei sollten die Maschinen weder beeinflusst werden noch sollten Angreifer feststellen können, dass sie unter Beobachtung stehen.
So ist Telescope entstanden. Damit lässt sich über das TLS (Transport Layer Security) verschlüsselte Kommunikation zwischen dem Endanwender und virtualisierten Umgebungen mitlesen, die auf dem Hypervisor laufen. Die Technik setzt darauf, die TLS-Keys auf Hypervisor-Ebene durch intelligentes Memory-Probing aufzuspüren.
Erschreckende Folgen
Die Folgen sind erschreckend, denn unseriöse Cloud-Provider oder Anbieter, die von Nachrichtendiensten dazu aufgefordert werden, können mit solchen Attacken in den Besitz von TLS-Keys kommen, die zur Verschlüsselung von Kommunikations-Sessions zwischen virtualisierten Servern und Kunden genutzt werden.
Cloud-Speicher-Vergleich: Die besten kostenlosen Cloud-Speicher aus Deutschland
Verantwortliche Unternehmen, die eine virtualisierte Infrastruktur an Dritte ausgelagert haben, müssen daher damit rechnen, dass sich alle Informationen, die mit den Nutzern ausgetauscht werden, entschlüsseln lassen und für unbegrenzte Zeit lesbar sind.
Weil Telescope keine forensischen Spuren hinterlässt, werden Anwender zudem nicht darüber informiert, dass ihr Kommunikationsfluss kompromittiert wurde. Insbesondere für Banken und Unternehmen, die mit geistigem Eigentum oder persönlichen Daten zu tun haben, wie auch Regierungsbehörden stellt diese Sicherheitslücke eine große Gefahr dar.
Und dass im Zeitalter von Big Data in der Virtualisierung die Zukunft gesehen wird, stellt die Schwachstelle auf eine ganz neue Ebene, denn immer mehr Branchenriesen wie Amazon, Google, Microsoft oder Digital Ocean setzen auf virtualisierte Infrastrukturen.
Hardware innerhalb der eigenen Infrastruktur betreiben
Da der Telescope-Angriff eine Funktion des Hypervisors ausnutzt, um die vom Protokoll verwendeten Verschlüsselungs-Keys herauszufiltern, lässt er sich derzeit weder beheben noch entschärfen, ohne dass die verwendeten Verschlüsselungs-Libraries neu geschrieben werden.
Um sich zu schützen, können Unternehmen daher nur ihre eigene Hardware innerhalb der eigenen Infrastruktur betreiben. (PC-Welt)