Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › HTTPS-Sicherheit: HSTS mit…

Naja ... So einfach ist das auch nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. Naja ... So einfach ist das auch nicht

    Autor: hgerstung 17.10.14 - 10:46

    Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei an NTP aufhängt, verstehe ich nicht so ganz. Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man mehrere Server konfiguriert die über möglichst unterschiedliche Routen erreichbar sind.

    Wenn der Angreifer aber eine solche Software auf dem Zielrechner installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auch das Time Skimming ist relativ lachhaft. Daß jemand nicht merkt, wie seine Systemzeit rasend schnell wegläuft halte ich für unwahrscheinlich.

    Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt, beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim Starten von ntpd erlaubt.

    Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys verwendet, verhindert eine MITM Attacke auf NTP.

    Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass das was mit NTP zu tun hat, halte ich für weit hergeholt.

  2. Re: Naja ... So einfach ist das auch nicht

    Autor: hjp 19.10.14 - 01:15

    hgerstung schrieb:
    --------------------------------------------------------------------------------
    > Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei
    > an NTP aufhängt, verstehe ich nicht so ganz.

    Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte
    Zeit auch gegen HSTS verwenden kann (genauso wie gegen zig andere
    Protokolle), dient wohl nur dazu, das ganze als irgendwie neu
    darzustellen.

    > Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem
    > Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem
    > Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete
    > manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man
    > mehrere Server konfiguriert die über möglichst unterschiedliche Routen
    > erreichbar sind.

    Bis zum eigenen ISP dürften diese Routen aber ziemlich identisch sein,
    und dort ist der wahrscheinlichste Ort für eine MITM-Attacke.


    > Wenn der Angreifer aber eine solche Software auf dem Zielrechner
    > installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich
    > direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auf dem Zielrechner muss er nichts installieren. Es handelt sich um eine
    MITM-Attacke. Wenn man annimmt, dass jemand eine MITM-Attacke gegen HTTP
    fahren kann, muss man auch annehmen, dass er eine gegen NTP fahren kann.

    > Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf
    > eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den
    > sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit
    > plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt,
    > beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim
    > Starten von ntpd erlaubt.

    Gerade das könnte aber ein Problem sein: Denn wenn der ntpd nicht (mehr)
    läuft, dann kann die Zeit mittels ntpdate gestellt werden, was z.B.
    unter Debian/Ubuntu passiert, wenn ein Interface online geht.


    > Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys
    > verwendet, verhindert eine MITM Attacke auf NTP.

    Sofern es Stratum-1-Server sind ...


    > Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass
    > das was mit NTP zu tun hat, halte ich für weit hergeholt.

    Im Gegenteil, es hat nur mit NTP zu tun, nichts speziell mit HSTS. Die
    Systemzeit ist eine Resource, die ein Betriebssystem zur Verfügung
    stellt, und eine Applikation muss sich darauf verlassen können - gerade
    im Security-Bereich spielt die Zeit eine große Rolle. Wenn ein OS die
    falsche Zeit liefert, kann man das dem Protokoll genausowenig ankreiden
    wie wenn es z.B. schlechte Zufallszahlen liefert.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bertrandt Services GmbH, Friedrichshafen
  2. OPERATIONAL SERVICES GMBH & CO. KG, Wolfsburg
  3. Kardex Deutschland GmbH, deutschlandweit
  4. ADAC SE, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-55%) 5,40€
  2. (-79%) 11,99€
  3. 2,49€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  2. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  3. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

  1. Elektroauto: Opel Corsa-e soll 330 km weit kommen
    Elektroauto
    Opel Corsa-e soll 330 km weit kommen

    Vor der Vorstellung des Opel Corsa-e am 4. Juni hat der deutsch-französische Konzern bereits erste Details des kommenden Elektroautos bekanntgegeben.

  2. SpaceX: 60 von 12.000 Satelliten sind im Orbit
    SpaceX
    60 von 12.000 Satelliten sind im Orbit

    Die Starlink-Konstellation soll weltweit Internetverbindungen mit Satelliten möglich machen. Am Freitag sind die ersten Prototypen gestartet. Golem erklärt, was es mit der Konstellation auf sich hat.

  3. Günther Schuh: Streetscooter-Gründer will Unternehmen zurückkaufen
    Günther Schuh
    Streetscooter-Gründer will Unternehmen zurückkaufen

    Der Elektroautohersteller Streetscooter steht offenbar vor dem Verkauf. Der Aachener Maschinenbauprofessor und Mitbegründer Günther Schuh will das Unternehmen angeblich von der Deutschen Post zurückerwerben.


  1. 08:45

  2. 08:26

  3. 07:30

  4. 07:11

  5. 07:00

  6. 19:15

  7. 19:00

  8. 18:45