{"id":1614,"date":"2015-06-29T12:19:14","date_gmt":"2015-06-29T10:19:14","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=1614"},"modified":"2025-12-09T13:34:05","modified_gmt":"2025-12-09T12:34:05","slug":"des-poodles-kern-wie-poodle-funktioniert-sie-sich-schuetzen","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/des-poodles-kern-wie-poodle-funktioniert-sie-sich-schuetzen\/","title":{"rendered":"Des Poodles Kern: Wie „Poodle“ funktioniert & Sie sich sch\u00fctzen"},"content":{"rendered":"

SSLv3 ist so veraltet, dass sich Verbindungen, die damit gesch\u00fctzt werden sollen, dechiffrieren lassen<\/strong>. Ein Angreifer kann das Einsetzen des schwachen Protokolls erzwingen, wie Forscher von Google herausfanden.<\/p>\n

<\/p>\n

Poodle Angriffsszenario durch 15 Jahre altes Protokoll<\/h2>\n

15 Jahre ist das Protokoll SSLv3 alt<\/strong>, und noch immer wird es als Fallback-Option von nahezu allen Servern und Browsern unterst\u00fctzt. Forscher aus dem Hause Google stellten j\u00fcngst einen neuen Angriff mit dem Namen Poodle vor<\/a> (PDF), der diesen Fallback ausnutzt: Fast alle verschl\u00fcsselten Verbindungen im Web lassen sich durch Poodle knacken.<\/strong> Ein Angreifer kann den Einsatz des veralteten SSLv3-Protokolls erzwingen. Daf\u00fcr ist das Eingreifen in den SSL-\/TLS-Verbindungsaufbau vonn\u00f6ten. Wenn sich Client und Server darauf geeinigt haben, sich \u00fcber SSLv3 zu verbinden, kann die Verschl\u00fcsselung angegriffen und wichtige Daten dechiffriert<\/strong> werden. Angreifer k\u00f6nnen so beispielsweise Sitzungscookies klauen und sich am Anwender-Account frei bedienen<\/strong>. Die Bezeichnung der Schwachstelle, Poodle, kommt aus der \u00c4hnlichkeit zur BEAST-Attacke von vor drei Jahren: Das nicht ausreichend gesicherte Padding im CBC-Modus leitet die Abk\u00fcrzung Poodle („Padding Oracle On Downgraded Legacy Encryption“) ab.<\/p>\n

Wie funktioniert Poodle?<\/h3>\n

Der Angreifer<\/strong> befindet sich in der Man-in-the-Middle-Position<\/strong>, also genau dort, wo s\u00e4mtliche Netzwerkpakete vorbeikommen<\/strong>. In dieser Position kann sich ein Geheimdienst genauso befinden wie jeder andere Mensch, der sich wie Sie im selben WLAN eingebucht hat. Ein Fallback auf SSLv3 muss f\u00fcr Poodle erreicht werden, und das ist nicht sonderlich schwer, da noch immer nahezu s\u00e4mtliche Server und Clients ein solches Fallback unterst\u00fctzen<\/strong> (s. Grafik). Nur wenn wenigstens Client oder Server dem Fallback nicht zustimmen, kann ein Angriff verhindert werden. Weiter ist es n\u00f6tig, dass der Angreifer auf dem Ger\u00e4t des Opfers Script-Code ausf\u00fchren kann. Als Man-in-the-Middle ist auch das nicht schwer: Code kann auf unverschl\u00fcsselten Websites eingebaut werden<\/strong>, die der Anwender gerade ansteuert. Die meisten Browser f\u00fchren den eingeschleusten Code auch aus.<\/p>\n

Um das tats\u00e4chliche Problem zu verstehen, m\u00fcssen die Aufgaben eines Secure Socket Layer<\/strong> klar sein: Neben dem Verschl\u00fcsseln von Daten<\/strong> ist SSL auch f\u00fcrs Sicherstellen der Integrit\u00e4t<\/strong> verantwortlich. Hei\u00dft: Nachtr\u00e4gliche \u00c4nderungen und Manipulationen sollen verhindert werden. Dieses Sicherstellen der Integrit\u00e4t geschieht durch den Message Authentication Code, dem MAC<\/strong>. Als das SSL-Protokoll eingef\u00fchrt wurde, musste man sich auf eine Reihenfolge einigen und seither wird MAC-then-encrypt als Standard<\/strong> genutzt, also erst die Integrit\u00e4tspr\u00fcfung, dann die Verschl\u00fcsselung<\/strong>. An die Klartextdaten, die es mittels Verschl\u00fcsselung zu sch\u00fctzen gilt, wird der MAC berechnet und angeh\u00e4ngt. Anschlie\u00dfend wird das Gesamtpaket verschl\u00fcsselt. Dieses Verfahren f\u00fchrte bereits h\u00e4ufiger zu Problemen.<\/p>\n

Dies h\u00e4ngt damit zusammen, dass oft in Bl\u00f6cken verschl\u00fcsselt wird, deren L\u00e4nge konkret festgelegt<\/strong> ist; denken Sie an AES oder 3DES. Die tats\u00e4chliche L\u00e4nge der verschl\u00fcsselten Daten erreicht selten die gesamte Blockgr\u00f6\u00dfe<\/strong>, sodass hinter dem MAC noch aufgef\u00fcllt<\/strong> werden muss, um die n\u00f6tige L\u00e4nge zu erreichen. Dieses Verfahren nennt sich Padding<\/strong>. Das Padding wird mitverschl\u00fcsselt, aber nicht durch den MAC abgesichert<\/strong> \u2013 es fehlt also die Integrit\u00e4tspr\u00fcfung; die Pr\u00fcfung gegen Manipulationen. Nun erlaubt es SSLv3<\/strong> dem Angreifer, das Padding fast schon frei zu w\u00e4hlen<\/strong>, lediglich das letzte Byte muss die Paddingl\u00e4nge richtig benennen. Ist die L\u00e4ngenangabe falsch, wird der MAC an der falschen Stelle ausgegeben, sodass seine \u00dcberpr\u00fcfung nicht gelingt.<\/p>\n

Angreifer, die Poodle ausnutzen, schleusen als Man-in-the-Middle Script-Code auf eine Webseite, befeuern den Server anschlie\u00dfend mit extrem vielen und fast identischen HTTPS-Anfragen, die der\u00a0Browser automatisiert mit entsprechenden Cookies versieht<\/strong>. Der Angreifer hat Kenntnis dar\u00fcber, welcher der verschl\u00fcsselten Bl\u00f6cke genau diesen Cookie enth\u00e4lt<\/strong>, auf den es ankommt, wenngleich er es noch nicht dechiffrieren kann. Der Angreifer ist als Man-in-the-middle allerdings in der Lage, diesen Block ans Ende der SSL-Daten zu kopieren<\/strong>, wo eigentlich das verschl\u00fcsselte Padding seinen Platz hat.<\/p>\n

Ergibt das letzte Byte im dekodierten Zustand nun die richtige L\u00e4nge<\/strong>, akzeptiert die Gegenstelle die manipulierten Daten. Dieser Wert zeigt der Gegenstelle die Position des MAC. Wenn der Server das Datenpaket annimmt, kann der Angreifer daraus schlie\u00dfen, dass das Byte des Cookies genau diesen Wert hat<\/strong>. Aber viel mehr noch: variiert der Angreifer die HTTPS-Anfragen noch etwas, kann er s\u00e4mtliche Bytes des Cookies problemlos ermitteln<\/strong>. Adam Langley, Krypto-Experte bei Google, erkl\u00e4rt das an dieser Stelle ausf\u00fchrlicher<\/a>.<\/p>\n

Die gesamte SSLv3-Verbindung kann mittels Poodle also nicht dechiffriert werden, aber Teile, die Byte-weise ausgew\u00e4hlt werden k\u00f6nnen<\/strong>. Gerade offene Sitzungen<\/strong> eines Anwenders k\u00f6nnen mit einem Session-Cookie aus HTTPS-Verbindungen allerdings gekapert werden<\/strong>, und dann ist es m\u00f6glich, den kompletten Account eines Anwenders zu \u00fcbernehmen<\/strong>. Was daraus entstehen kann, wissen Sie.<\/p>\n

 <\/p>\n

Poodle-Angriffe abwehren: So sch\u00fctzen Sie sich<\/h2>\n

Der wirksamste Schutz gegen Poodle-Angriffe ist denkbar einfach: Abschalten<\/strong>. SSLv3 ist eine l\u00e4ngst veraltete Protokollversion, die heutzutage nicht mehr gebraucht wird. Im schlimmsten Fall wird dadurch keine verschl\u00fcsselte Verbindung zustandekommen \u2013 dies ist ausschlie\u00dflich beim Internet Explorer in der Version 6<\/strong> der Fall.<\/p>\n

Ob Ihr Browser anf\u00e4llig auf Poodle-Angriffe reagiert, k\u00f6nnen Sie auf der daf\u00fcr eigens aufgesetzten Seite poodletest.com<\/a> des Internet Storm Centers pr\u00fcfen. Arbeiten Sie mit Firefox<\/strong>, geben Sie „about:config“ (ohne Anf\u00fchrungszeichen) in Ihre Adressleiste ein. Ihr Browser sucht dann nach TLS und Sie stellen die Option „security.tls.version.min“ auf 1 ein. Ist Ihnen das \u2013 auch wenn nichts passieren kann \u2013 zu heikel, denken Sie am 25. November ans Updaten Ihres Firefox-Browsers<\/strong>, denn mit diesem Update auf die Firefox-Version 34 stellt Mozilla den Support von SSLv3 standardm\u00e4\u00dfig ab<\/strong>. Um sich in Chrome<\/strong> zu sch\u00fctzen, starten Sie Ihren Browser mit der Kommandozeilen-Option „–ssl-version-min=tls1“. F\u00fcr den Schutz beim Verwenden des Internet Explorers<\/strong> gehen Sie in Ihre Internetoptionen unter „Erweitert“ und entfernen Sie das H\u00e4kchen bei „SSL 3.0 verwenden“. Aktivieren Sie dann auch gleich TLS in den Versionen 1.1 und 1.2.<\/p>\n

Serverseitig wird es etwas komplizierter, denn theoretisch sperren Sie mit einer Umstellung m\u00f6gliches Zielpublikum aus. Die Gefahr h\u00e4lt sich allerdings in Grenzen: Bedenken Sie, dass TLS in der Version 1.0 seit 15 Jahren standardisiert<\/strong> ist \u2013 s\u00e4mtliche auch nur halbwegs aktuelle Clients unterst\u00fctzen den Standard. Einzig der Internet Explorer 6 kann nicht mit TLS 1.0 umgehen<\/strong> \u2013 Statistiken wie diese unter browser-statistik.de<\/a> zeigen Ihnen allerdings, dass der Anteil an IE 6-Nutzern im Promillebereich liegt. Ob Ihr Webserver SSLv3 unterst\u00fctzt<\/strong>, k\u00f6nnen Sie beispielsweise mit dem Test von Qualys SSL Labs<\/a> \u00fcberpr\u00fcfen. Wie die konkrete Konfiguration aussieht, ist je nach Server verschieden. Gute Konfigurationsanleitungen<\/strong> finden Sie unter Bettercrypto.org<\/a>; konkret im Applied Crypto Hardening-Guide<\/a> (PDF), durch den Sie Konfigurationen via Copy&Paste<\/strong> einrichten k\u00f6nnen. In der Apache-Konfiguration<\/strong> k\u00f6nnen Sie mit der Zeile „SSLProtocol All -SSLv3 -SSLv3“ arbeiten. Die Poodle-Entdecker geben den Tipp, „TLS_FALLBACK_SCSV“ zu nutzen, um Fallbacks auf veraltete Protokollversionen zu vermeiden. Damit w\u00fcrden zwar auch k\u00fcnftige Downgrade-Angriffe verhindert<\/strong> werden, allerdings kann bisher nicht gesagt werden, welche Clients, Server und Bibliotheken damit wom\u00f6glich ausgeschlossen werden.<\/p>\n

\u00dcbrigens: Nicht nur Ihre Server sind betroffen, achten Sie auch auf andere Dienste wie E-Mail oder VPNs<\/strong>. Auch in diesen Konfigurationen k\u00f6nnen Sie SSLv3 oder Fallbacks ausschlie\u00dfen. In den Mozilla-eigenen Produkten Seamonkey und Thunderbird funktioniert das genauso wie im Browser Firefox.<\/p>\n

 <\/p>\n

Erste Reaktionen auf Poodle<\/h2>\n

Insgesamt lassen sich die Reaktionen wie folgt zusammenfassen: SSLv3 geh\u00f6rt abgeschaltet<\/strong>. Allerdings k\u00f6nnen sich daraus Kompatibilit\u00e4tsprobleme entwickeln, sodass Entwickler davor zur\u00fcckschrecken k\u00f6nnten. Eine zweite Option ist der Fallback via SCSV<\/a>: Dieser Standard verhindert das induzierte Herabstufen von Verschl\u00fcsselungsprotokollen<\/strong>. Das Problem dabei: Wenn eine Verbindung von Beginn an SSLv3 nutzt, bleibt sie angreifbar. Diese Methode wurde bereits in OpenSSL 1.0 1j, 1.0.0o und 0.9.8zc integriert. Die neue OpenSSL-Version wurde kurz nach Bekanntwerden der Poodle-L\u00fccke ver\u00f6ffentlicht<\/a> und bietet den SCSV-Workaround.<\/p>\n

Auch Google setzt auf SCSV: Der Suchmaschinenriese erkl\u00e4rte j\u00fcngst<\/a>, deshalb bereits gegen Poodle-Angriffe gefeit<\/strong> zu sein. Sicherheitshalber m\u00f6chte Google die SSLv3-Unterst\u00fctzung in den n\u00e4chsten Monaten komplett entfernen<\/strong>. Mozilla unternimmt diesen Schritt, wie oben erw\u00e4hnt, bereits im November mit der neuen Firefox-Version 34. Eine Handlungsempfehlung kommt auch vom BSI<\/a>: Schalten Sie SSLv3 in Ihrem Browser komplett ab.<\/strong> Wenngleich sich Microsoft bislang dazu ausschweigt, ob SSLv3 aus dem Internet Explorer entfernt wird, gibt der Redmonder ebenfalls die Empfehlung<\/a>, die Protokollunterst\u00fctzung abzuschalten. Diesen Empfehlungen schlie\u00dfen auch wir uns an: Verzichten Sie auf das unsichere SSLv3-Protokoll<\/strong> und Sie k\u00f6nnen sichergehen, dass Poodle nicht ausgenutzt werden kann.<\/p>\n

Update: Uralt-Protokoll SSLv3 wird verschwinden<\/h3>\n

SSL in der Version 3 (SSLv3) ist veraltet und unsicher \u2013 das steht sp\u00e4testens seit Poodle fest. Die Internet Engineering Task Force (IETF) reagiert nun durch das Verabschieden des Dokuments RFC 7568<\/a>, mit dem der Einsatz des einst von Netscape entwickelten Verschl\u00fcsselungsprotokolls unterbunden wird. In dem offiziellen Dokument wird eindeutig vorgeschrieben, dass weder Clients das veraltete Protokoll anbieten noch Server selbiges akzeptieren sollten. Mitarbeiter von Google, Mozilla sowie dem franz\u00f6sischen Forschungsinstitut Inria sind an dieser Empfehlung beteiligt.<\/p>\n

Als Reaktion auf Poodle hatten zahlreiche Websites und Programme das Protokoll bereits abgeschaltet, jedoch ist es wichtig, das Protokoll vollst\u00e4ndig zu entfernen, um Szenarien dieser Art nicht wieder aufleben zu lassen. Immerhin existiert SSLv3 bereits seit 1996; Nachfolger sind die von der IETF weiterentwickelten Protokollversionen TLS 1.0, 1.1 sowie 1.2. Das 19 Jahre alte SSLv3 kennt zudem keine Erweiterungen, die moderne Funktionen liefern und f\u00fcr heutige Sicherheitsanspr\u00fcche unabdingbar sind.<\/p>\n