1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › HTTPS-Sicherheit: HSTS mit…

Naja ... So einfach ist das auch nicht

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Naja ... So einfach ist das auch nicht

    Autor: hgerstung 17.10.14 - 10:46

    Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei an NTP aufhängt, verstehe ich nicht so ganz. Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man mehrere Server konfiguriert die über möglichst unterschiedliche Routen erreichbar sind.

    Wenn der Angreifer aber eine solche Software auf dem Zielrechner installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auch das Time Skimming ist relativ lachhaft. Daß jemand nicht merkt, wie seine Systemzeit rasend schnell wegläuft halte ich für unwahrscheinlich.

    Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt, beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim Starten von ntpd erlaubt.

    Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys verwendet, verhindert eine MITM Attacke auf NTP.

    Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass das was mit NTP zu tun hat, halte ich für weit hergeholt.

  2. Re: Naja ... So einfach ist das auch nicht

    Autor: hjp 19.10.14 - 01:15

    hgerstung schrieb:
    --------------------------------------------------------------------------------
    > Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei
    > an NTP aufhängt, verstehe ich nicht so ganz.

    Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte
    Zeit auch gegen HSTS verwenden kann (genauso wie gegen zig andere
    Protokolle), dient wohl nur dazu, das ganze als irgendwie neu
    darzustellen.

    > Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem
    > Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem
    > Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete
    > manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man
    > mehrere Server konfiguriert die über möglichst unterschiedliche Routen
    > erreichbar sind.

    Bis zum eigenen ISP dürften diese Routen aber ziemlich identisch sein,
    und dort ist der wahrscheinlichste Ort für eine MITM-Attacke.


    > Wenn der Angreifer aber eine solche Software auf dem Zielrechner
    > installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich
    > direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auf dem Zielrechner muss er nichts installieren. Es handelt sich um eine
    MITM-Attacke. Wenn man annimmt, dass jemand eine MITM-Attacke gegen HTTP
    fahren kann, muss man auch annehmen, dass er eine gegen NTP fahren kann.

    > Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf
    > eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den
    > sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit
    > plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt,
    > beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim
    > Starten von ntpd erlaubt.

    Gerade das könnte aber ein Problem sein: Denn wenn der ntpd nicht (mehr)
    läuft, dann kann die Zeit mittels ntpdate gestellt werden, was z.B.
    unter Debian/Ubuntu passiert, wenn ein Interface online geht.


    > Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys
    > verwendet, verhindert eine MITM Attacke auf NTP.

    Sofern es Stratum-1-Server sind ...


    > Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass
    > das was mit NTP zu tun hat, halte ich für weit hergeholt.

    Im Gegenteil, es hat nur mit NTP zu tun, nichts speziell mit HSTS. Die
    Systemzeit ist eine Resource, die ein Betriebssystem zur Verfügung
    stellt, und eine Applikation muss sich darauf verlassen können - gerade
    im Security-Bereich spielt die Zeit eine große Rolle. Wenn ein OS die
    falsche Zeit liefert, kann man das dem Protokoll genausowenig ankreiden
    wie wenn es z.B. schlechte Zufallszahlen liefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Berliner Wasserbetriebe, Berlin-Wilmersdorf
  2. Liganova GmbH, Stuttgart
  3. Berliner Wasserbetriebe, Berlin
  4. Hannover Rück SE, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. Gratis
  2. 4,99€
  3. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme