Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › HTTPS-Sicherheit: HSTS mit…

Naja ... So einfach ist das auch nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. Naja ... So einfach ist das auch nicht

    Autor: hgerstung 17.10.14 - 10:46

    Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei an NTP aufhängt, verstehe ich nicht so ganz. Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man mehrere Server konfiguriert die über möglichst unterschiedliche Routen erreichbar sind.

    Wenn der Angreifer aber eine solche Software auf dem Zielrechner installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auch das Time Skimming ist relativ lachhaft. Daß jemand nicht merkt, wie seine Systemzeit rasend schnell wegläuft halte ich für unwahrscheinlich.

    Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt, beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim Starten von ntpd erlaubt.

    Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys verwendet, verhindert eine MITM Attacke auf NTP.

    Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass das was mit NTP zu tun hat, halte ich für weit hergeholt.

  2. Re: Naja ... So einfach ist das auch nicht

    Autor: hjp 19.10.14 - 01:15

    hgerstung schrieb:
    --------------------------------------------------------------------------------
    > Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei
    > an NTP aufhängt, verstehe ich nicht so ganz.

    Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte
    Zeit auch gegen HSTS verwenden kann (genauso wie gegen zig andere
    Protokolle), dient wohl nur dazu, das ganze als irgendwie neu
    darzustellen.

    > Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem
    > Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem
    > Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete
    > manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man
    > mehrere Server konfiguriert die über möglichst unterschiedliche Routen
    > erreichbar sind.

    Bis zum eigenen ISP dürften diese Routen aber ziemlich identisch sein,
    und dort ist der wahrscheinlichste Ort für eine MITM-Attacke.


    > Wenn der Angreifer aber eine solche Software auf dem Zielrechner
    > installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich
    > direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auf dem Zielrechner muss er nichts installieren. Es handelt sich um eine
    MITM-Attacke. Wenn man annimmt, dass jemand eine MITM-Attacke gegen HTTP
    fahren kann, muss man auch annehmen, dass er eine gegen NTP fahren kann.

    > Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf
    > eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den
    > sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit
    > plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt,
    > beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim
    > Starten von ntpd erlaubt.

    Gerade das könnte aber ein Problem sein: Denn wenn der ntpd nicht (mehr)
    läuft, dann kann die Zeit mittels ntpdate gestellt werden, was z.B.
    unter Debian/Ubuntu passiert, wenn ein Interface online geht.


    > Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys
    > verwendet, verhindert eine MITM Attacke auf NTP.

    Sofern es Stratum-1-Server sind ...


    > Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass
    > das was mit NTP zu tun hat, halte ich für weit hergeholt.

    Im Gegenteil, es hat nur mit NTP zu tun, nichts speziell mit HSTS. Die
    Systemzeit ist eine Resource, die ein Betriebssystem zur Verfügung
    stellt, und eine Applikation muss sich darauf verlassen können - gerade
    im Security-Bereich spielt die Zeit eine große Rolle. Wenn ein OS die
    falsche Zeit liefert, kann man das dem Protokoll genausowenig ankreiden
    wie wenn es z.B. schlechte Zufallszahlen liefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Berlin-Tempelhof
  2. Evangelische Landeskirche in Württemberg, Stuttgart
  3. Biotrics Bioimplants GmbH, Berlin
  4. Stadtwerke München GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 107,90€
  2. (u. a. Bohrhammer für 114,99€, Schraubendreher-Set für 27,99€, Ortungsgerät für 193,99€)
  3. (u. a. Multi Schleifmaschine für 62,99€, Schlagbohrmaschine für 59,99€, Akku Staubsauger für...
  4. (aktuell u. a. SilentiumPC Stella HP Gehäuselüfter für 10,99€, SilentiumPC Regnum RG4 Frosty...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
Galaxy Fold im Hands on
Samsung hat sein faltbares Smartphone gerettet

Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
Ein Hands on von Tobias Költzsch

  1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
  2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
  3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

  1. BSI: iOS-App der Telekom für vertrauliche Gespräche freigegeben
    BSI
    iOS-App der Telekom für vertrauliche Gespräche freigegeben

    Neben Kryptohandys dürfen Behördenmitarbeiter nun auch auf iPhones Vertrauliches miteinander besprechen - vorausgesetzt, sie verwenden eine App der Telekom.

  2. Datenleck: Persönliche Daten von Ecuadors Bürgern ungeschützt im Netz
    Datenleck
    Persönliche Daten von Ecuadors Bürgern ungeschützt im Netz

    Detaillierte persönliche Informationen von Ecuadors Bürgern waren offen zugänglich im Internet. Insgesamt umfasste die Datenbank 20 Millionen Einträge, darunter auch der 2017 eingebürgerte Julian Assange.

  3. Wegen Cloudflare: OpenBSD deaktiviert DoH im Firefox-Browser
    Wegen Cloudflare
    OpenBSD deaktiviert DoH im Firefox-Browser

    Wegen der Kooperation von Mozilla und Cloudflare für DNS über HTTPS (DoH) deaktiviert das Team von OpenBSD die Nutzung des Protokolls für alle Firefox-Nutzer des freien Betriebssystems. Interessierte können die Technik aber weiterhin einsetzen.


  1. 16:08

  2. 15:27

  3. 13:40

  4. 13:24

  5. 13:17

  6. 12:34

  7. 12:02

  8. 11:15