Abo
  • Services:
Anzeige
In 10-Sekunden-Paketen analysierter Netzwerktraffic verrät manches über den verschlüsselten Inhalt.
In 10-Sekunden-Paketen analysierter Netzwerktraffic verrät manches über den verschlüsselten Inhalt. (Bild: Brandon Niemczyk/Prasad Rao)

Seitenkanalangriffe: Was verschlüsselte Kanäle verraten

Durch die statistische Analyse des Netzwerkverkehrs eines verschlüsselten SSH-Tunnels gelang es Forschern, Rückschlüsse auf das verwendete Programm zu ziehen. Das entsprechende Tool wurde samt Quellcode veröffentlicht.

Anzeige

Wer sich in potenziell gefährlichen oder zensierten Netzwerken bewegt, nutzt gerne verschlüsselte Tunnellösungen, um Netzwerkanwendungen über eine gesicherte Verbindung nach außen zu leiten. Gerne verwendet werden dafür etwa SSH oder OpenVPN. Doch auch wenn die Daten verschlüsselt sind, kann eine Analyse der übertragenen Daten trotzdem vieles über die Verbindung verraten.

Auf der Black Hat 2014 präsentierten die beiden bei HP angestellten Sicherheitsforscher Brandon Niemczyk und Prasad Rao ein Tool, mit dem sich der Datenverkehr analysieren lässt. In vielen Fällen konnten die Forscher dabei Rückschlüsse ziehen, welche Anwendung gerade über den verschlüsselten Kanal genutzt wird.

Das Analysetool Pacumen

Brandon Niemczyk erklärte, dass es in den vergangenen Jahren bereits einige Forschungsarbeiten zu dem Thema gab. Allerdings hätten sie alle einen Nachteil: Nie wurde der dazugehörige Code veröffentlicht. Die Ergebnisse seien oft unklar und in vielen Fällen nicht nachvollziehbar gewesen. Außerdem hätten sich fast alle bisher veröffentlichten Forschungsarbeiten auf einzelne Applikationen bezogen.

Niemczyk und Rao haben nun ein Tool namens Pacumen entwickelt, mit dem sich verschlüsselter Netzwerkverkehr analysieren lässt. Der Code ist in Python geschrieben und wurde unter einer BSD-Lizenz auf Github veröffentlicht. Ein wissenschaftliches Hintergrundpapier gibt es ebenfalls.

Vorlage erstellen

Um das Tool zu nutzen, muss zunächst ein sogenannter Classifier für eine Anwendung erstellt werden. Als Beispiel wurde Skype über einen SSH-Tunnel verwendet, die beiden Forscher wiesen aber darauf hin, dass Pacumen auch für beliebige andere Tunnellösungen und für viele Anwendungen funktioniert. Dabei sei "Anwendung" im weiteren Sinne zu verstehen. So könne man etwa auch die Nutzung von Facebook im Chrome-Browser erkennen.

Um den Classifier zu erstellen, muss zunächst unter kontrollierten Bedingungen die entsprechende Anwendung über einen verschlüsselten Tunnel ausgeführt und idealerweise der Datenverkehr für mehrere Stunden mittels eines Netzwerksniffers wie Wireshark aufgezeichnet werden. Anschließend werden die gesnifften Datenpakete mit Pacumen analysiert.

Große Datenmengen benötigt

Mit dem erstellten Classifier können anschließend Datenpakete mit unbekanntem Inhalt analysiert werden. Das Tool gibt dann eine Wahrscheinlichkeit dafür aus, dass der Classifier zu den entsprechenden aufgezeichneten Daten passt. Um zuverlässig zu arbeiten, benötigt Pacumen Datenpaketaufzeichnungen von mehreren Stunden. Ideal seien mindestens 12 Stunden an Daten, sagten die Forscher. Das dürfte den Angriff in vielen Fällen unpraktikabel machen.

Während beim Erstellen des Classifiers idealerweise nur eine Applikation laufen sollte, funktioniert die anschließende Analyse der Datenpakete meistens auch dann, wenn mehrere Anwendungen gleichzeitig laufen.

Spezieller Algorithmus

Um die Daten zu analysieren, teilt Pacuman die Pakete in Einheiten von 10 Sekunden auf. Deren Größe wird dann mit statistischen Methoden mit dem Classifier verglichen. Hierfür verwendet Pacuman einen Entscheidungsbaum. Der entsprechende Algorithmus sei speziell für diesen Zweck angepasst worden, gängige Lehrbuch-Algorithmen hätten keine guten Ergebnisse geliefert, sagten die Sicherheitsexperten. Neben dem Entscheidungsbaum-Algorithmus hätten die Forscher auch versucht, eine statistische Analyse mit einem sogenannten Mixed-Gaussian-Algorithmus durchzuführen, das habe aber keine so guten Ergebnisse geliefert.

Die einzige Möglichkeit, sich gegen derartige Analysemethoden zu wehren, ist laut Niemczyk das Padden aller Datenpakete, so dass alle Datenpakete dieselbe Größe haben. Auch müssten immer dann, wenn keine Daten übertragen werden, Dummy-Datenpakete verschickt werden. Das Problem: Derartige Ansätze verschlechtern die Performance solcher Tunnelanwendungen drastisch.

Was Pacuman deutlich macht: Auch wenn Daten mit sicheren Methoden verschlüsselt sind, verraten die übertragenen Daten bei Netzwerkanwendungen dennoch einiges über den Inhalt. Die Geschwindigkeit und die Menge der Daten sind Seitenkanäle, aus denen sich Rückschlüsse ziehen lassen. Auch bei der CRIME-Attacke und der BREACH-Attacke, die die Kompressionsfunktionen von TLS und HTTP angreifen, handelt es sich um einen solchen Seitenkanalangriff.


eye home zur Startseite
oliver.n.h 08. Aug 2014

ich Frage mich wie schwierig es wird wenn man vpn und ssh nutzt oder gar 2x vpn und ssh...



Anzeige

Stellenmarkt
  1. Bike o' bello Radsportversand GmbH & Co KG, St. Leon-Rot
  2. ESG Elektroniksystem- und Logistik-GmbH, München
  3. SKS Unternehmensberatung GmbH & Co. KG, Potsdam
  4. adesso AG, Stuttgart, München, Karlsruhe


Anzeige
Spiele-Angebote
  1. (-23%) 61,99€
  2. 329,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  2. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  3. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  4. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  5. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  6. Internetzensur

    China macht VPN genehmigungspflichtig

  7. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  8. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  9. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet

  10. Star Trek

    Der Kampf um Axanar endet mit außergerichtlicher Einigung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Schade, dass es keinen Kommunismus in China gibt

    ling.ling | 17:58

  2. Re: Hmm, immerhin Zeitstempel

    My1 | 17:55

  3. Re: Unkritisch

    cypeak | 17:54

  4. Re: "Wir bauen mehr Glasfaser als jeder andere...

    plutoniumsulfat | 17:53

  5. Re: Rollenspiele sind out

    ArcherV | 17:52


  1. 17:28

  2. 17:07

  3. 16:55

  4. 16:49

  5. 16:15

  6. 15:52

  7. 15:29

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel