Abo
  • Services:
Anzeige
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

HTTPS-Sicherheit: HSTS mit Zeitmaschine umgehen

Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

Sicherheitsforscher Jose Selvi präsentiert einen Angriff auf das HTTPS-Absicherungsverfahren Strict Transport Security (HSTS). Dabei schickt er das System in die Zukunft - mittels eines Angriffs auf das NTP-Protokoll.

Ein bekanntes Problem von verschlüsselten HTTPS-Verbindungen sind sogenannte SSL-Stripping-Angriffe. Die Idee dabei: Ein Angreifer kann Links auf HTTPS-Webseiten oder auch direkte Seitenaufrufe im Browser abfangen und den Nutzer auf unverschlüsselte Seiten weiterleiten. Um vor solchen Stripping-Angriffen zu schützen, gibt es das Protokoll HTTP Strict Transport Security (HSTS). Die Idee dabei: Eine Webseite kann dem Browser signalisieren, dass sie ausschließlich verschlüsselte Verbindungen akzeptiert.

Anzeige

Neben dem HSTS-Header gibt es auch die Möglichkeit, seine Webseite direkt in Browser eintragen zu lassen. Google bietet seit kurzem jedem die Möglichkeit hierfür, die entsprechende Liste mit voreingestellten HSTS-Seiten wird auch von Firefox verwendet. Der spanische Sicherheitsforscher Jose Selvi hat das HSTS-Verfahren untersucht und ist dabei auf eine nicht unerhebliche Schwäche gestoßen.

HSTS für begrenzten Zeitraum

HSTS basiert darauf, dass die Webseite dem Client einen Wert in Sekunden mitteilt, für diesen Zeitraum gilt die Webseite dann als geschützt und es werden nur noch HTTPS-Verbindungen zugelassen. Bei jedem erneuten Webseitenaufruf wird dieser Wert aktualisiert. Übliche Werte sind beispielsweise ein halbes Jahr, allerdings fand Selvi heraus, dass beispielsweise Paypal diesen Wert auf lediglich vier Stunden setzt, damit ist der Schutz praktisch wertlos. Auch die im Browser voreingestellten Seiten erhalten nicht zwangsweise Schutz für die Ewigkeit. Im Chrome-Browser etwa wird die maximale Zeit für HSTS auf 1.000 Tage gesetzt.

Selvi stand vor dem Problem, dass er im Zeitraum des HSTS-Schutzes keine Möglichkeit für einen Angriff sah. Man müsste, so Selvi, eine Zeitmaschine haben, um den Nutzer nach dem Ablauf der durch HSTS gesetzten Frist anzugreifen. Eine solche "Zeitmaschine" fand Selvi dann auch - in Form des Network-Time-Protokolls (NTP). Fast alle modernen Betriebssysteme stellen ihre Uhrzeit automatisch mittels NTP über das Internet. Das NTP-Protokoll ist jedoch üblicherweise nicht abgesichert. Verschlüsseltes NTP ist zwar möglich, aber unüblich.

Delorean sendet Systemzeit in die Zukunft

Selvi entwickelte ein Tool, um NTP mittels eines Man-in-the-Middle-Angriffs zu manipulieren. Das Tool nannte er Delorean - nach dem Auto, das in der Trilogie Zurück in die Zukunft als Zeitmaschine dient. Den Code von Delorean hat Selvi auf Github veröffentlicht. Mittels des Man-in-the-Middle-Angriffs war Selvi in der Lage, die Uhrzeit auf dem Rechner eines Opfers zu manipulieren und den Nutzer trotz HSTS mittels SSL-Stripping anzugreifen. Selvi zeigte in seiner Präsentation einen derartigen Angriff auf Google Mail.

Wie erfolgreich ein solcher Zeitmaschinenangriff ist, hängt vom System ab. Relativ einfach gestaltet sich die Situation unter dem älteren Mac OS X Lion. Dort wird die Zeit alle neun Minuten abgefragt. Unter OS X Mavericks ist das System durch einen Bug geschützt: Die Funktion zum automatischen Setzen der Uhrzeit scheint generell nicht zu funktionieren. Unter Ubuntu wird die Zeit bei jeder neuen Netzwerkverbindung und beim Systemstart mittels NTP ersetzt.

Schwierig gestaltete sich der Angriff unter Windows. Dort wird normalerweise nur einmal pro Woche die Zeit neu gesetzt, außerdem akzeptiert das System keine Zeitänderungen, die größer als 15 Stunden sind. Es gebe allerdings im Netz viele Berichte von Personen, denen die wöchentliche Zeitsetzung von Windows zu ungenau ist, sagte Selvi. Viele schlagen vor, den Intervall deutlich niedriger anzusetzen. Wenn ein System sich häufiger als alle 15 Stunden aktualisiert, konnte Selvi den Mechanismus überwinden - er setzte einfach immer die Zeit so, dass wenige Sekunden später der Zeitraum für die nächste Abfrage des NTP-Servers ablief. Diese Methode bezeichnete er als Time Skimming.

Generell nicht funktioniert hat Selvis Angriff auf voreingestellte HTTPS-Webseiten in Safari. Dort werden diese, anders als bei Chrome oder Firefox, nicht für einen begrenzten Zeitraum gesetzt, sie gelten für die Ewigkeit. Der Internet Explorer unterstützt HSTS bislang überhaupt nicht.

Wer ist schuld, Browser oder Betriebssystem?

Das Problem sei, so Selvi, dass Betriebssystem- und Browserhersteller sich gegenseitig die Schuld zuschieben würden. Die Browserhersteller seien der Ansicht, dass das System dafür zuständig sei, dass die Uhrzeit korrekt ist. Die Betriebssystemhersteller hingegen seien oft der Ansicht, dass Applikationen die Systemzeit nicht als vertrauenswürdige Information ansehen sollten.

Abhilfe schaffen könnte, NTP über verschlüsselte Verbindungen einzusetzen. Perfekt ist das allerdings nicht: Man müsste sich dann auf die Vertrauenswürdigkeit des NTP-Serverbetreibers verlassen. Die Methode von Windows, bei automatischen NTP-Abfragen nur eine begrenzte Verschiebung zur aktuellen Systemzeit zuzulassen, hält Selvi für eine gute Methode, um derartige Angriffe zu erschweren.

Die Methode von HSTS, bestimmte Sicherheitsfeatures für einen angegebenen Zeitraum zu setzen, wird auch von anderen Protokollen genutzt. Das neue Feature HTTP Public Key Pinning (HPKP) arbeitet ähnlich, hier könnte man einen vergleichbaren Angriff durchführen.


eye home zur Startseite
hjp 19. Okt 2014

Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte Zeit auch gegen...



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Köln
  2. PDV-Systeme GmbH, Dachau
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Continental AG, Regensburg


Anzeige
Top-Angebote
  1. 1169,00€
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       


  1. Ultrastar He12

    WD plant Festplatten mit bis zu 14 Terabyte

  2. LG

    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems

  3. Onlinewerbung

    Forscher stoppen monatelange Malvertising-Kampagne

  4. Steep im Test

    Frei und einsam beim Bergsport

  5. Streaming

    Netflix-Nutzer wollen keine Topfilme

  6. Star Wars Rogue One VR Angespielt

    "S-Flügel in Angriffsposition!"

  7. Kaufberatung

    Die richtige CPU und Grafikkarte

  8. Android

    Google kann Größe von App-Updates weiter verringern

  9. Exilim EX-FR 110H

    Casio stellt Actionkamera für die Nacht vor

  10. Webmailer

    Mit einer Mail Code in Roundcube ausführen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

  1. Ubisoft und Always online -> Nein Danke

    Andi K. | 15:25

  2. Re: Das war mein Kündigungsgrund

    DieSchlange | 15:24

  3. Re: Qualität Filme vs. Serien

    nicoledos | 15:24

  4. Re: Ich hab's befürchtet...

    Tamashii | 15:23

  5. Re: Solange sich wie immer am Preis/TB nichts...

    spock | 15:22


  1. 14:43

  2. 14:20

  3. 14:07

  4. 14:00

  5. 13:10

  6. 12:25

  7. 11:59

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel