1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › HTTPS-Sicherheit: HSTS mit…

Naja ... So einfach ist das auch nicht

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Naja ... So einfach ist das auch nicht

    Autor: hgerstung 17.10.14 - 10:46

    Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei an NTP aufhängt, verstehe ich nicht so ganz. Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man mehrere Server konfiguriert die über möglichst unterschiedliche Routen erreichbar sind.

    Wenn der Angreifer aber eine solche Software auf dem Zielrechner installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auch das Time Skimming ist relativ lachhaft. Daß jemand nicht merkt, wie seine Systemzeit rasend schnell wegläuft halte ich für unwahrscheinlich.

    Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt, beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim Starten von ntpd erlaubt.

    Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys verwendet, verhindert eine MITM Attacke auf NTP.

    Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass das was mit NTP zu tun hat, halte ich für weit hergeholt.

  2. Re: Naja ... So einfach ist das auch nicht

    Autor: hjp 19.10.14 - 01:15

    hgerstung schrieb:
    --------------------------------------------------------------------------------
    > Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei
    > an NTP aufhängt, verstehe ich nicht so ganz.

    Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte
    Zeit auch gegen HSTS verwenden kann (genauso wie gegen zig andere
    Protokolle), dient wohl nur dazu, das ganze als irgendwie neu
    darzustellen.

    > Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem
    > Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem
    > Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete
    > manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man
    > mehrere Server konfiguriert die über möglichst unterschiedliche Routen
    > erreichbar sind.

    Bis zum eigenen ISP dürften diese Routen aber ziemlich identisch sein,
    und dort ist der wahrscheinlichste Ort für eine MITM-Attacke.


    > Wenn der Angreifer aber eine solche Software auf dem Zielrechner
    > installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich
    > direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auf dem Zielrechner muss er nichts installieren. Es handelt sich um eine
    MITM-Attacke. Wenn man annimmt, dass jemand eine MITM-Attacke gegen HTTP
    fahren kann, muss man auch annehmen, dass er eine gegen NTP fahren kann.

    > Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf
    > eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den
    > sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit
    > plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt,
    > beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim
    > Starten von ntpd erlaubt.

    Gerade das könnte aber ein Problem sein: Denn wenn der ntpd nicht (mehr)
    läuft, dann kann die Zeit mittels ntpdate gestellt werden, was z.B.
    unter Debian/Ubuntu passiert, wenn ein Interface online geht.


    > Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys
    > verwendet, verhindert eine MITM Attacke auf NTP.

    Sofern es Stratum-1-Server sind ...


    > Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass
    > das was mit NTP zu tun hat, halte ich für weit hergeholt.

    Im Gegenteil, es hat nur mit NTP zu tun, nichts speziell mit HSTS. Die
    Systemzeit ist eine Resource, die ein Betriebssystem zur Verfügung
    stellt, und eine Applikation muss sich darauf verlassen können - gerade
    im Security-Bereich spielt die Zeit eine große Rolle. Wenn ein OS die
    falsche Zeit liefert, kann man das dem Protokoll genausowenig ankreiden
    wie wenn es z.B. schlechte Zufallszahlen liefert.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler (w/m/d) Java
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Bremen
  2. Kundenbetreuer (m/w/d) im Support
    i-SOLUTIONS Health GmbH, Bochum, Magdeburg
  3. Senior Software Developer (m/w / divers)
    Eurowings Aviation GmbH, Köln
  4. IT Support Mitarbeiter (m/w/d) im 2nd/3rd Level
    igus GmbH, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 81€ (Bestpreis mit MediaMarkt & Saturn)
  2. mit bis zu 700€ Cashback auf Ambilight-TVs und Soundbars
  3. (u. a. AMD Ryzen 7 5700X für 268€ statt 289€ im Vergleich, PowerColor Radeon RX 6750 XT Red...
  4. (u. a. Cooler Master Caliber R1 + Cooler Master Cup-Holder für 139,90€ + 19,99€ Versand statt...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

  1. Khadas VIM4 Kleiner Bastelrechner integriert HDMI 2.1 und M.2-Slot
  2. Bastelrechner Raspberry Pi OS verwirft den Standarduser pi
  3. DIY Bastler quetscht Raspberry Pi in Kassette

Internetinfrastruktur: Chinas Digitale Seidenstraße
Internetinfrastruktur
Chinas Digitale Seidenstraße

China baut weltweit Internetinfrastruktur und Datenzentren. Nicht nur für die Freiheit im Internet und Unternehmen aus Europa und den USA könnte das zur Bedrohung werden.
Eine Analyse von Gerd Mischler

  1. Hosting-Ausfall Prosite und Speedbone nicht erreichbar
  2. Deep-Learning Medienanstalten suchen mit KI nach Pornos und Gewalt
  3. Statistisches Bundesamt Rund 3,8 Millionen Bundesbürger leben offline

Superbooth: Technikparadies für Musiknerds
Superbooth
Technikparadies für Musiknerds

Von klassischen E-Pianos bis zu Musikstudios in DIN-A5: Bei der Synthesizer-Messe Superbooth haben Hersteller zum Ausprobieren eingeladen.
Ein Bericht von Daniel Ziegener