SSL-Attacke „FREAK“ – mailbox.org gefixt bzw. nicht betroffen gewesen

Seit heute morgen macht die nächste Angriffsmöglichkeit auf SSL-verschlüsselte Verbindungen die Runde: Die sogenannte „FREAK“-Attacke. Betroffen davon sind vor allem mobile Geräte auf Basis von Android und iOS, nach derzeitigem Kenntnisstand aber nicht Desktop-Systeme wie Windows oder Linux. Inhalt des FREAK-Angriffs ist die Möglichkeit, dass ein Angreifer Einfluss auf das verwendete Verschlüsselungsverfahren nehmen kann und die anfälligen Mobilgeräte dazu bringen kann, eine viel zu schwache und damit leicht knackbare Verschlüsselung zu verwenden, obwohl eigentlich vom Server wesentlich stärkere Verfahren zur Auswahl angeboten wurden.

FREAK macht vor allem deshalb die Runde, weil enorm viele Webseiten eine für FREAK-Angriffe anfällige Konfiguration verwenden: Statistiken gehen von rund 12% aller Domains, bzw. 25% aller Webserver im Netz aus, darunter auch die Webseite der NSA selbst…

Mailbox.org hat die Meldungen von heute morgen zum Anlaß genommen, gleich in den Morgenstunden unsere Konfiguration zu überprüfen.

  • Unsere Webserver-Systeme wurden schon immer so konfiguriert, daß die schwachen Verschlüsselungsverfahren gar nicht mehr zum Einsatz kamen. Unsere Webserver sind damit für die FREAK-Attacke nie anfällig gewesen.
  • Auf unseren Mailservern kamen vereinzelt noch Verschlüsselungsverfahren zum Einsatz, die eventuell die Grundlage für eine FREAK-Attacke bilden könnten. Es sind derzeit keine genauen Informationen darüber zu bekommen, ob und wie FREAK auch bei SSL-gesicherten E-Mail-Verbindungen zum Tragen kommen könnte; die öffentliche Diskussion und Berichterstattung bezieht sich auf HTTPS, also auf die Problematik bei Webservern.
    So oder so haben wir heute morgen umgehend die Auswahl der von unseren Servern verwendeten Verschlüsselungsverfahren angepaßt, seit 10:30 ist die neue Konfiguration aktiv. Sollten unsere Systeme im Bereich Mail für FREAK  anfällig gewesen sein, so wäre auch diese Lücke mittlerweile geschlossen und wenn sie anfällig gewesen wären, dann nur SMTP-Verbindungen (Mailversand), nicht aber POP3/IMAP (Mailempfang).

 

Wir sind weiterhin dabei das Problem hinter FREAK zu analysieren und unsere Systeme daraufhin zu überprüfen, wollen aber an dieser Stelle schonmal über den Zwischenstand informieren.