© istockphoto.com/ziomari
HTTPS kann auch ohne SSL/TLS-Schwachstelle angegriffen werden

Mit Proxy und Proxykonfiguration gegen HTTPS


Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte, ist seit Längerem bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich – und das ganz ohne TLS-Schwachstelle.

Dieses Jahr wurden auf den Sicherheitskonferenzen etliche Vorträge zur Sicherheit von SSL/TLS und ­HTTPS gehalten, z. B. gleich sieben Talks auf der Black Hat USA. In vielen ging es um Schwachstellen in SSL/TLS, und die werden auch nicht zu kurz kommen. Aber sie sind erst im nächsten PHP Magazin dran, denn in diesem Artikel geht es um Angriffe, die völlig ohne SSL/TLS-Schwachstelle auskommen und trotzdem z. B. das Übernehmen von Benutzerkonten oder laufenden Ses­sions erlauben.

WPAD ist böse und sollte badWPAD heißen

Maxim Goncharov von Trend Micro hat auf der Black Hat USA 2016 auf die Gefahren hingewiesen, die ein uraltes Protokoll für die SSL/TLS-Verschlüsselung darstellt [1]: Das Web Proxy Auto-Discovery Protocol (WPAD, auch Autoproxy genannt). WPAD wurde bereits 1996 entwickelt und erstmals in Netscape 2.0 implementiert. Seine Aufgabe: Automatisch Web-Proxy-Konfigurationen erkennen. WPAD funktioniert mit jedem Programm und Betriebssystem, das Proxy Auto-Discovery unterstützt.

Dass WPAD gefährlich ist, ist schon länger bekannt. Jedes Mal, wenn WPAD nach einem Proxy sucht, kann jeder auf die Anfrage antworten und sich als Web-Proxy ausgeben und damit als Man in the Middle agieren. Besondere Beachtung hat diese Gefahr bisher aber nicht gefunden, was einige Forscher von Trend Micro dazu bewogen hat, das Problem genauer zu untersuchen – unter anderem, weil sich das Benutzerverhalten seit der Einführung stark verändert hat. Anfangs wurde WPAD vor allem in Unternehmensnetzen genutzt, in denen die Benutzer nur über einen Proxy ins Web gehen durften. Damals waren die Clients meist stationäre Rechner und blieben auf Dauer in diesem Netz; sie suchten deshalb nur sehr selten nach einem neuen Web-Proxy. Inzwischen sind viele Geräte mobil und in immer wieder anderen Netzen unterwegs, sodass sie entsprechend oft nach einem neuen Web-Proxy suchen.

WPAD im Überblick

WPAD wird von internetfähigen Programmen wie Webbrowsern verwendet, um nach dem URL einer Proxykonfigurationsdatei (wpad.dat) für den Web-Proxy zu suchen. Dazu wird das Dynamic Host Configuration Protocol (DHCP) oder das Domain Name System (DNS) verwendet, wobei DHCP bevorzugt wird. Nur wenn über DHCP keine Konfigurationsdatei gefunden wurde, wird auf das DNS zurückgegriffen. Wenn...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang