• IT-Karriere:
  • Services:

HTTPS-Sicherheit: HSTS mit Zeitmaschine umgehen

Sicherheitsforscher Jose Selvi präsentiert einen Angriff auf das HTTPS-Absicherungsverfahren Strict Transport Security (HSTS). Dabei schickt er das System in die Zukunft - mittels eines Angriffs auf das NTP-Protokoll.

Artikel veröffentlicht am , Hanno Böck
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

Ein bekanntes Problem von verschlüsselten HTTPS-Verbindungen sind sogenannte SSL-Stripping-Angriffe. Die Idee dabei: Ein Angreifer kann Links auf HTTPS-Webseiten oder auch direkte Seitenaufrufe im Browser abfangen und den Nutzer auf unverschlüsselte Seiten weiterleiten. Um vor solchen Stripping-Angriffen zu schützen, gibt es das Protokoll HTTP Strict Transport Security (HSTS). Die Idee dabei: Eine Webseite kann dem Browser signalisieren, dass sie ausschließlich verschlüsselte Verbindungen akzeptiert.

Stellenmarkt
  1. RENA Technologies GmbH, Gütenbach
  2. MVV EnergySolutions GmbH, Mannheim

Neben dem HSTS-Header gibt es auch die Möglichkeit, seine Webseite direkt in Browser eintragen zu lassen. Google bietet seit kurzem jedem die Möglichkeit hierfür, die entsprechende Liste mit voreingestellten HSTS-Seiten wird auch von Firefox verwendet. Der spanische Sicherheitsforscher Jose Selvi hat das HSTS-Verfahren untersucht und ist dabei auf eine nicht unerhebliche Schwäche gestoßen.

HSTS für begrenzten Zeitraum

HSTS basiert darauf, dass die Webseite dem Client einen Wert in Sekunden mitteilt, für diesen Zeitraum gilt die Webseite dann als geschützt und es werden nur noch HTTPS-Verbindungen zugelassen. Bei jedem erneuten Webseitenaufruf wird dieser Wert aktualisiert. Übliche Werte sind beispielsweise ein halbes Jahr, allerdings fand Selvi heraus, dass beispielsweise Paypal diesen Wert auf lediglich vier Stunden setzt, damit ist der Schutz praktisch wertlos. Auch die im Browser voreingestellten Seiten erhalten nicht zwangsweise Schutz für die Ewigkeit. Im Chrome-Browser etwa wird die maximale Zeit für HSTS auf 1.000 Tage gesetzt.

Selvi stand vor dem Problem, dass er im Zeitraum des HSTS-Schutzes keine Möglichkeit für einen Angriff sah. Man müsste, so Selvi, eine Zeitmaschine haben, um den Nutzer nach dem Ablauf der durch HSTS gesetzten Frist anzugreifen. Eine solche "Zeitmaschine" fand Selvi dann auch - in Form des Network-Time-Protokolls (NTP). Fast alle modernen Betriebssysteme stellen ihre Uhrzeit automatisch mittels NTP über das Internet. Das NTP-Protokoll ist jedoch üblicherweise nicht abgesichert. Verschlüsseltes NTP ist zwar möglich, aber unüblich.

Delorean sendet Systemzeit in die Zukunft

Selvi entwickelte ein Tool, um NTP mittels eines Man-in-the-Middle-Angriffs zu manipulieren. Das Tool nannte er Delorean - nach dem Auto, das in der Trilogie Zurück in die Zukunft als Zeitmaschine dient. Den Code von Delorean hat Selvi auf Github veröffentlicht. Mittels des Man-in-the-Middle-Angriffs war Selvi in der Lage, die Uhrzeit auf dem Rechner eines Opfers zu manipulieren und den Nutzer trotz HSTS mittels SSL-Stripping anzugreifen. Selvi zeigte in seiner Präsentation einen derartigen Angriff auf Google Mail.

Wie erfolgreich ein solcher Zeitmaschinenangriff ist, hängt vom System ab. Relativ einfach gestaltet sich die Situation unter dem älteren Mac OS X Lion. Dort wird die Zeit alle neun Minuten abgefragt. Unter OS X Mavericks ist das System durch einen Bug geschützt: Die Funktion zum automatischen Setzen der Uhrzeit scheint generell nicht zu funktionieren. Unter Ubuntu wird die Zeit bei jeder neuen Netzwerkverbindung und beim Systemstart mittels NTP ersetzt.

Schwierig gestaltete sich der Angriff unter Windows. Dort wird normalerweise nur einmal pro Woche die Zeit neu gesetzt, außerdem akzeptiert das System keine Zeitänderungen, die größer als 15 Stunden sind. Es gebe allerdings im Netz viele Berichte von Personen, denen die wöchentliche Zeitsetzung von Windows zu ungenau ist, sagte Selvi. Viele schlagen vor, den Intervall deutlich niedriger anzusetzen. Wenn ein System sich häufiger als alle 15 Stunden aktualisiert, konnte Selvi den Mechanismus überwinden - er setzte einfach immer die Zeit so, dass wenige Sekunden später der Zeitraum für die nächste Abfrage des NTP-Servers ablief. Diese Methode bezeichnete er als Time Skimming.

Generell nicht funktioniert hat Selvis Angriff auf voreingestellte HTTPS-Webseiten in Safari. Dort werden diese, anders als bei Chrome oder Firefox, nicht für einen begrenzten Zeitraum gesetzt, sie gelten für die Ewigkeit. Der Internet Explorer unterstützt HSTS bislang überhaupt nicht.

Wer ist schuld, Browser oder Betriebssystem?

Das Problem sei, so Selvi, dass Betriebssystem- und Browserhersteller sich gegenseitig die Schuld zuschieben würden. Die Browserhersteller seien der Ansicht, dass das System dafür zuständig sei, dass die Uhrzeit korrekt ist. Die Betriebssystemhersteller hingegen seien oft der Ansicht, dass Applikationen die Systemzeit nicht als vertrauenswürdige Information ansehen sollten.

Abhilfe schaffen könnte, NTP über verschlüsselte Verbindungen einzusetzen. Perfekt ist das allerdings nicht: Man müsste sich dann auf die Vertrauenswürdigkeit des NTP-Serverbetreibers verlassen. Die Methode von Windows, bei automatischen NTP-Abfragen nur eine begrenzte Verschiebung zur aktuellen Systemzeit zuzulassen, hält Selvi für eine gute Methode, um derartige Angriffe zu erschweren.

Die Methode von HSTS, bestimmte Sicherheitsfeatures für einen angegebenen Zeitraum zu setzen, wird auch von anderen Protokollen genutzt. Das neue Feature HTTP Public Key Pinning (HPKP) arbeitet ähnlich, hier könnte man einen vergleichbaren Angriff durchführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (1TB für 41,65€, 5TB für 92,65€)
  2. (u. a. Hitman 3 - Epic Games Store Key für 34,49€, Medieval Dynasty für 8,99€)
  3. 2.449,00€
  4. gratis (bis 22.04.)

hjp 19. Okt 2014

Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte Zeit auch gegen...


Folgen Sie uns
       


Der Konsolen-PC - Fazit

Seit es AMDs RDNA-2-Grafikkarten gibt, kann eine Next-Gen-Konsole leicht nachgebaut werden. Wir schauen, was es dazu braucht und ob der Konsolen-PC etwas taugt.

Der Konsolen-PC - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /