Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › HTTPS-Sicherheit: HSTS mit…

Naja ... So einfach ist das auch nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. Naja ... So einfach ist das auch nicht

    Autor: hgerstung 17.10.14 - 10:46

    Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei an NTP aufhängt, verstehe ich nicht so ganz. Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man mehrere Server konfiguriert die über möglichst unterschiedliche Routen erreichbar sind.

    Wenn der Angreifer aber eine solche Software auf dem Zielrechner installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auch das Time Skimming ist relativ lachhaft. Daß jemand nicht merkt, wie seine Systemzeit rasend schnell wegläuft halte ich für unwahrscheinlich.

    Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt, beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim Starten von ntpd erlaubt.

    Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys verwendet, verhindert eine MITM Attacke auf NTP.

    Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass das was mit NTP zu tun hat, halte ich für weit hergeholt.

  2. Re: Naja ... So einfach ist das auch nicht

    Autor: hjp 19.10.14 - 01:15

    hgerstung schrieb:
    --------------------------------------------------------------------------------
    > Das ist sicher eine veritable Sicherheitslücke, aber warum man sich dabei
    > an NTP aufhängt, verstehe ich nicht so ganz.

    Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte
    Zeit auch gegen HSTS verwenden kann (genauso wie gegen zig andere
    Protokolle), dient wohl nur dazu, das ganze als irgendwie neu
    darzustellen.

    > Damit ein Angreifer die Attacke auch ausführen kann, muß eine dem
    > Delorean Tool ähnliche Software auf dem Zielrechner oder auf einem
    > Router zwischen Zielrechner und NTP Server laufen, das die NTP Pakete
    > manipuliert. Letzteres kann man wirksam dadurch bekämpfen, dass man
    > mehrere Server konfiguriert die über möglichst unterschiedliche Routen
    > erreichbar sind.

    Bis zum eigenen ISP dürften diese Routen aber ziemlich identisch sein,
    und dort ist der wahrscheinlichste Ort für eine MITM-Attacke.


    > Wenn der Angreifer aber eine solche Software auf dem Zielrechner
    > installieren kann, die den Netzwerkverkehr kapert, dann kann er auch gleich
    > direkt die Zeit verstellen. Hat nix mit NTP zu tun.

    Auf dem Zielrechner muss er nichts installieren. Es handelt sich um eine
    MITM-Attacke. Wenn man annimmt, dass jemand eine MITM-Attacke gegen HTTP
    fahren kann, muss man auch annehmen, dass er eine gegen NTP fahren kann.

    > Wer übrigens ntpd benutzt (www.ntp.org), der kann die Gefahr im Bezug auf
    > eine Manipulation von NTP minimieren. Die Funktionsweise von ntpd hat den
    > sogenannten Panic Threshold (default auf 1000 Sekunden) und wenn die Zeit
    > plötzlich im laufenden Betrieb um mehr als diese 1000 Sekunden springt,
    > beendet sich ntpd selbst und stellt die Systemzeit nicht. Das ist nur beim
    > Starten von ntpd erlaubt.

    Gerade das könnte aber ein Problem sein: Denn wenn der ntpd nicht (mehr)
    läuft, dann kann die Zeit mittels ntpdate gestellt werden, was z.B.
    unter Debian/Ubuntu passiert, wenn ein Interface online geht.


    > Auch wer seine eigenen NTP Server betreibt und z.B. symmetrische Keys
    > verwendet, verhindert eine MITM Attacke auf NTP.

    Sofern es Stratum-1-Server sind ...


    > Ich erkenne an, daß das Zeitlimit für HSTS ein Problem darstellt, aber dass
    > das was mit NTP zu tun hat, halte ich für weit hergeholt.

    Im Gegenteil, es hat nur mit NTP zu tun, nichts speziell mit HSTS. Die
    Systemzeit ist eine Resource, die ein Betriebssystem zur Verfügung
    stellt, und eine Applikation muss sich darauf verlassen können - gerade
    im Security-Bereich spielt die Zeit eine große Rolle. Wenn ein OS die
    falsche Zeit liefert, kann man das dem Protokoll genausowenig ankreiden
    wie wenn es z.B. schlechte Zufallszahlen liefert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BRUNATA-METRONA GmbH & Co. KG, München
  2. Interhyp Gruppe, München
  3. BWI GmbH, Bonn
  4. operational services GmbH & Co. KG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 349,00€
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

  1. Festnetz: Deutsche Telekom hat mehr FTTH als Deutsche Glasfaser
    Festnetz
    Deutsche Telekom hat mehr FTTH als Deutsche Glasfaser

    Die Deutsche Telekom hat überraschend den Spitzenplatz bei der Versorgung mit FTTH für sich beansprucht. Zugleich gibt die Telekom zu, dass deutlich weniger als die Hälfte der versorgten Haushalte FTTH auch buchen.

  2. Arbeitsspeicher: Ryzen 3000 rechnet mit DDR4-3733-CL16 am schnellsten
    Arbeitsspeicher
    Ryzen 3000 rechnet mit DDR4-3733-CL16 am schnellsten

    AMDs Zen-2-CPUs unterstützen offiziell DDR4-3200, können aber auch mit deutlich höher getaktetem Speicher umgehen. Ein umfangreicher Test zeigt, dass DDR4-3733 mit relativ straffen Latenzen derzeit das Optimum für die Ryzen 3000 darstellt, weil so auch die interne Fabric-Geschwindigkeit steigt.

  3. UL 3DMark: Feature Test prüft variable Shading-Rate
    UL 3DMark
    Feature Test prüft variable Shading-Rate

    Nvidia unterstützt es bereits, AMD und Intel in den nächsten Monaten: Per Variable Rate Shading werden in PC-Spielen bestimmte Bereiche mit weniger Aufwand gerendert, idealerweise solche, die nicht ins Auge fallen. Der 3DMark zeigt bald, wie unter Direct3D 12 die Bildrate ohne größere Qualitätsverluste steigen soll.


  1. 19:25

  2. 18:00

  3. 17:31

  4. 10:00

  5. 13:00

  6. 12:30

  7. 11:57

  8. 17:52