Abo
  • Services:
Anzeige
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

HTTPS-Sicherheit: HSTS mit Zeitmaschine umgehen

Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

Sicherheitsforscher Jose Selvi präsentiert einen Angriff auf das HTTPS-Absicherungsverfahren Strict Transport Security (HSTS). Dabei schickt er das System in die Zukunft - mittels eines Angriffs auf das NTP-Protokoll.

Ein bekanntes Problem von verschlüsselten HTTPS-Verbindungen sind sogenannte SSL-Stripping-Angriffe. Die Idee dabei: Ein Angreifer kann Links auf HTTPS-Webseiten oder auch direkte Seitenaufrufe im Browser abfangen und den Nutzer auf unverschlüsselte Seiten weiterleiten. Um vor solchen Stripping-Angriffen zu schützen, gibt es das Protokoll HTTP Strict Transport Security (HSTS). Die Idee dabei: Eine Webseite kann dem Browser signalisieren, dass sie ausschließlich verschlüsselte Verbindungen akzeptiert.

Anzeige

Neben dem HSTS-Header gibt es auch die Möglichkeit, seine Webseite direkt in Browser eintragen zu lassen. Google bietet seit kurzem jedem die Möglichkeit hierfür, die entsprechende Liste mit voreingestellten HSTS-Seiten wird auch von Firefox verwendet. Der spanische Sicherheitsforscher Jose Selvi hat das HSTS-Verfahren untersucht und ist dabei auf eine nicht unerhebliche Schwäche gestoßen.

HSTS für begrenzten Zeitraum

HSTS basiert darauf, dass die Webseite dem Client einen Wert in Sekunden mitteilt, für diesen Zeitraum gilt die Webseite dann als geschützt und es werden nur noch HTTPS-Verbindungen zugelassen. Bei jedem erneuten Webseitenaufruf wird dieser Wert aktualisiert. Übliche Werte sind beispielsweise ein halbes Jahr, allerdings fand Selvi heraus, dass beispielsweise Paypal diesen Wert auf lediglich vier Stunden setzt, damit ist der Schutz praktisch wertlos. Auch die im Browser voreingestellten Seiten erhalten nicht zwangsweise Schutz für die Ewigkeit. Im Chrome-Browser etwa wird die maximale Zeit für HSTS auf 1.000 Tage gesetzt.

Selvi stand vor dem Problem, dass er im Zeitraum des HSTS-Schutzes keine Möglichkeit für einen Angriff sah. Man müsste, so Selvi, eine Zeitmaschine haben, um den Nutzer nach dem Ablauf der durch HSTS gesetzten Frist anzugreifen. Eine solche "Zeitmaschine" fand Selvi dann auch - in Form des Network-Time-Protokolls (NTP). Fast alle modernen Betriebssysteme stellen ihre Uhrzeit automatisch mittels NTP über das Internet. Das NTP-Protokoll ist jedoch üblicherweise nicht abgesichert. Verschlüsseltes NTP ist zwar möglich, aber unüblich.

Delorean sendet Systemzeit in die Zukunft

Selvi entwickelte ein Tool, um NTP mittels eines Man-in-the-Middle-Angriffs zu manipulieren. Das Tool nannte er Delorean - nach dem Auto, das in der Trilogie Zurück in die Zukunft als Zeitmaschine dient. Den Code von Delorean hat Selvi auf Github veröffentlicht. Mittels des Man-in-the-Middle-Angriffs war Selvi in der Lage, die Uhrzeit auf dem Rechner eines Opfers zu manipulieren und den Nutzer trotz HSTS mittels SSL-Stripping anzugreifen. Selvi zeigte in seiner Präsentation einen derartigen Angriff auf Google Mail.

Wie erfolgreich ein solcher Zeitmaschinenangriff ist, hängt vom System ab. Relativ einfach gestaltet sich die Situation unter dem älteren Mac OS X Lion. Dort wird die Zeit alle neun Minuten abgefragt. Unter OS X Mavericks ist das System durch einen Bug geschützt: Die Funktion zum automatischen Setzen der Uhrzeit scheint generell nicht zu funktionieren. Unter Ubuntu wird die Zeit bei jeder neuen Netzwerkverbindung und beim Systemstart mittels NTP ersetzt.

Schwierig gestaltete sich der Angriff unter Windows. Dort wird normalerweise nur einmal pro Woche die Zeit neu gesetzt, außerdem akzeptiert das System keine Zeitänderungen, die größer als 15 Stunden sind. Es gebe allerdings im Netz viele Berichte von Personen, denen die wöchentliche Zeitsetzung von Windows zu ungenau ist, sagte Selvi. Viele schlagen vor, den Intervall deutlich niedriger anzusetzen. Wenn ein System sich häufiger als alle 15 Stunden aktualisiert, konnte Selvi den Mechanismus überwinden - er setzte einfach immer die Zeit so, dass wenige Sekunden später der Zeitraum für die nächste Abfrage des NTP-Servers ablief. Diese Methode bezeichnete er als Time Skimming.

Generell nicht funktioniert hat Selvis Angriff auf voreingestellte HTTPS-Webseiten in Safari. Dort werden diese, anders als bei Chrome oder Firefox, nicht für einen begrenzten Zeitraum gesetzt, sie gelten für die Ewigkeit. Der Internet Explorer unterstützt HSTS bislang überhaupt nicht.

Wer ist schuld, Browser oder Betriebssystem?

Das Problem sei, so Selvi, dass Betriebssystem- und Browserhersteller sich gegenseitig die Schuld zuschieben würden. Die Browserhersteller seien der Ansicht, dass das System dafür zuständig sei, dass die Uhrzeit korrekt ist. Die Betriebssystemhersteller hingegen seien oft der Ansicht, dass Applikationen die Systemzeit nicht als vertrauenswürdige Information ansehen sollten.

Abhilfe schaffen könnte, NTP über verschlüsselte Verbindungen einzusetzen. Perfekt ist das allerdings nicht: Man müsste sich dann auf die Vertrauenswürdigkeit des NTP-Serverbetreibers verlassen. Die Methode von Windows, bei automatischen NTP-Abfragen nur eine begrenzte Verschiebung zur aktuellen Systemzeit zuzulassen, hält Selvi für eine gute Methode, um derartige Angriffe zu erschweren.

Die Methode von HSTS, bestimmte Sicherheitsfeatures für einen angegebenen Zeitraum zu setzen, wird auch von anderen Protokollen genutzt. Das neue Feature HTTP Public Key Pinning (HPKP) arbeitet ähnlich, hier könnte man einen vergleichbaren Angriff durchführen.


eye home zur Startseite
hjp 19. Okt 2014

Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte Zeit auch gegen...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Neu-Ulm, Lindau
  2. Plunet GmbH, Würzburg
  3. Polizeiverwaltungsamt, Dommitzsch
  4. BRUNATA Wärmemesser GmbH & Co. KG, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Jurassic World, Fast & Furious 7, Die Unfassbaren, Interstellar, Terminator 5)
  2. (u. a. Lone Survivor, Riddick, Homefront, Wild Card, 96 Hours Taken 2)
  3. 21,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. SWEET32

    Kurze Verschlüsselungsblöcke sorgen für Kollisionen

  2. Mobilfunk

    Telekom bietet Apple Music wohl als Streamingoption an

  3. Android 7.0

    Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  4. DSLR

    Canon EOS 5D Mark IV mit 30,4 Megapixeln und 4K-Video

  5. Touchscreen-Ausfälle

    iPhone 6 und 6 Plus womöglich mit Konstruktionsfehler

  6. Honor 8

    Dual-Kamera-Smartphone kostet ab 400 Euro in Deutschland

  7. Eigengebote

    BGH verurteilt Preistreiber zu hohem Schadenersatz

  8. IDE

    Kdevelop 5.0 nutzt Clang für Sprachunterstützung

  9. Hybridluftschiff

    Airlander 10 landet auf der Nase

  10. Verschlüsselung

    Regierung will nun doch keine Backdoors



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Warenzustellung Schweizer Post testet autonome Lieferroboter
  2. Lockheed Martin Roboter Spider repariert Luftschiffe
  3. Kinderroboter Myon Einauge lernt, Einauge hat Körper

  1. Und die nächste tolle Bezeichnung: Bitter64

    DebugErr | 09:47

  2. Re: Da stellt sich eine Frage an Google

    ThaKilla | 09:47

  3. Re: Falsch

    unbuntu | 09:46

  4. Re: Die Masche ist mir auch schon aufgefallen

    Alashazz | 09:46

  5. Re: Fraglicher Sinn im Flieger Design

    leed | 09:46


  1. 09:31

  2. 09:15

  3. 08:51

  4. 07:55

  5. 07:27

  6. 19:21

  7. 17:12

  8. 16:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel