Flickr, Yahoo, VMware: Kaum zu glauben, dass diese Hightech-Konzerne einem nahezu antiken Protokoll zum Opfer fallen könnten. Es heißt SSLv2, und es ist eigentlich längst weg vom Fenster. Doch für den seit 1. März bekannten IT-Angriff „DROWN“ ist das Steinzeit-Protokoll SSLv2 plötzlich wieder Gold wert. DROWN nutzt es, um verschlüsselte SSL/TLS-Verbindungen zu knacken. Jeder dritte Server könnte betroffen sein.

SSL is presented in the form of binary code
Viele Server beherbergen tatsächlich ein kleines Museum. Ausgestellt wird ein fast vergessenes Fundstück aus der IT-Steinzeit: das Protokoll SSLv2. Es ist zwar längst nicht mehr up to date, wurde jedoch 2016 genau aus diesem Grund wieder interessant für Hacker. Der Grund: Trotz arg schwächelnder Performance findet sich SSLv2 erstaunlicherweise immer noch in nahezu jedem dritten IT-Server wieder.

 

Die Sicherheitslücken des Steinzeit-Protokolls laden Hacker zum munteren Knacken verschlüsselter TLS-Verbindungen ein; so geschehen bei der kürzlich bekannt gewordenen DROWN (Decrypting RSA with Obsolete and Weakend eNcryption)-Attacke. Adressiert wurden etliche prominente Unternehmen wie Flickr, Yahoo oder VMware sowie diverse Behördenseiten, deren Server nicht nur die moderne Transportverschlüsselung TLS, sondern auch SSLv2 über den gleichen öffentlichen Schlüssel bereitstellen – sogar protokollübergreifend über HTTPS oder IMAP. Diese immense Sicherheitslücke konnten Hacker schamlos ausnutzen.

 

SSLv2, nein danke!
Unsere Empfehlung fällt daher sehr deutlich aus: Bitte verzichten Sie gänzlich auf SSLv2! OpenSSL beispielsweise hat kürzlich reagiert und das Steinzeit-Protokoll standardmäßig deaktiviert. Diese Maßnahme reicht schon aus, um DROWN-Attacken vollständig zu verhindern.

 

Unsere SEPPmail-Appliance vertraut auf die OpenSSL-Alternative LibreSSL. Dort sind sowohl SSLv2 und SSLv3 bereits seit 2014 standardmäßig deaktiviert. Somit können wir Ihnen guten Gewissens garantieren, dass SEPPmail nicht von den Sicherheitslücken des SSLv2-Protokolls betroffen ist!

Share →