Die deutsche Hackergruppe "The Hacker's Choice" hat ein DDoS-Tool veröffentlicht, womit sich eine Schwachstelle in Secure Sockets Layer (SSL) ausnutzen lässt, berichtet heise. Dadurch werden Denial-of-Service-Angriffe auf Webserver und die Ausspähung sensibler Daten ermöglicht. Das Tool war bereits vor einigen Monaten entwischt. Nun begründete die Gruppe die Veröffentlichung des Proof of Concept damit, dass man auf die mangelhafte Sicherheit von SSL aufmerksam machen wolle. Demnach reiche für das Lahmlegen eines Servers ein einziger Laptop aus. Dies heizt die Debatte um die SSL-Sicherheit wieder an.

Sichere Verbindung

Der Aufwand liege weniger in der Ver- und Entschlüsselung der Daten für einen https-Server, sondern beim SSL-Verbindungsaufbau. Das Tool mit dem Namen THC-SSL-DOS könne demnach durch Ausnutzen des Fehlers den Webserver mit Anfragen für eine sichere Verbindung überschwemmen.

Veraltete Sicherheitsmethode

In einem Blogeintrag erklärt ein THC-Mitglied: "Wir hoffen, dass der mangelhafte Schutz in SSL nicht unbemerkt bleibt. Die Industrie sollte einschreiten, um das Problem zu beheben und den Bürgern wieder Sicherheit zu gewährleisten." SSL verwende eine veraltete Methode des Datenschutzes, die komplex, unnötig und nicht fit für das 21. Jahrhundert sei.

Server-Farm lahmlegen

In ihren Tests fand die Gruppe heraus, dass ein herkömmlicher Laptop und eine DSL-Verbindung ausreichte, um einen durchschnittlichen Server auszuhebeln. Für das Lahmlegen einer größeren Server-Farm benötige man etwa 20 Laptops, heißt es. Neben Webservern wird auch der Zugriff auf E-Mail-Server mit verschlüsselter SSL-Verbindung ermöglicht.
Auf ihrem Blog beschreiben die Hacker technische Details des Angriffs und bieten das Tool zum Download an. (red)