DoS-Tool gegen SSL-Server veröffentlicht
SSL-Verschlüsselung wird von vielen Servern zur Sicherung der Verbindung vor unberechtigtem Mitlesen genutzt, so auch von Homebankingserver und Maildiensten. Genau diese gesicherten Verbindungen sind mit einem neuen Tool die Achillesferse der Server.
Im Web ist eine verschlüsselte Verbindung an der Schema-Bezeichnung „https://“ leicht erkennbar. Für den Benutzer bedeutet dies, dass seine übertragenen Daten vor unbefugtem Mitlesen geschützt sind. Was für den Benutzer bequem ist, macht dem Server richtig Arbeit: zu Beginn einer Verbindung werden die Sitzungsschlüssel meist unter Nutzung des mathematischen Verfahrens RSA ausgetauscht, was den Server sehr stark belastet. Um die durch die Schlüsselerzeugung entstehende Last zu kompensieren, werden in der Praxis teilweise eigene SSL-Beschleunigersysteme eingesetzt, die dem Server diese Arbeit abnehmen. Die eigentliche Verbindung wird meist mittels des Verschlüsselungsstandards AES verschlüsselt, was im Vergleich zur Schlüsselerzeugung sehr ressourcenschonend ist.
Bei der Schlüsselerzeugung setzt das jetzt bekannt gewordene Tool „THC-SSL-DOS“ an: normalerweise ist diese nämlich nur ein einziges Mal, bei Beginn der verschlüsselten Verbindung, nötig. Im Gegensatz dazu fordert THC-SSL-DOS den Server ständig zum Schlüsselwechsel auf. In der Praxis spielt diese sogenannten „Key Renegotiation“ normalerweise keine Rolle, da der anfangs erstellte Schlüssel bis zum Ende der Verbindung verwendet wird und eine Neuaushandlung nur im Ausnahmefall notwendig wird. So lange auf Seite des Servers die Neuaushandlung nicht deaktiviert wird, ist das DoS-Tool in der Lage, einen Server so stark auszulasten, dass dieser keine Nutzdaten mehr übertragen kann. Man kann so mit sehr wenig Angriffsleistung auch einen relativ leistungsstarken Server in die Knie zwingen. Das funktioniert im Prinzip mit allen Servern, die SSL-verschlüsselte Verbindung nutzen, wie Webservern, Mailservern und FTP-Servern.
Jetzt, da das Angriffstool frei verfügbar ist, können auch technisch wenig bewanderte Benutzer mit dem Programm arbeiten und SSL-Server angreifen. Eine Rechtfertigung für die Veröffentlichung eines solchen Programms ist nur schwer vorstellbar und auch aus dem Blogeintrag der Hackergruppe nicht wirklich erkennbar.