Abo
  • Services:
Anzeige
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

HTTPS-Sicherheit: HSTS mit Zeitmaschine umgehen

Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten.
Im Film Zurück in die Zukunft dient ein Delorean als Zeitmaschine - im Angriff auf HSTS muss NTP dafür herhalten. (Bild: DearEdward, Wikimedia Commons, CC by 2.0)

Sicherheitsforscher Jose Selvi präsentiert einen Angriff auf das HTTPS-Absicherungsverfahren Strict Transport Security (HSTS). Dabei schickt er das System in die Zukunft - mittels eines Angriffs auf das NTP-Protokoll.

Ein bekanntes Problem von verschlüsselten HTTPS-Verbindungen sind sogenannte SSL-Stripping-Angriffe. Die Idee dabei: Ein Angreifer kann Links auf HTTPS-Webseiten oder auch direkte Seitenaufrufe im Browser abfangen und den Nutzer auf unverschlüsselte Seiten weiterleiten. Um vor solchen Stripping-Angriffen zu schützen, gibt es das Protokoll HTTP Strict Transport Security (HSTS). Die Idee dabei: Eine Webseite kann dem Browser signalisieren, dass sie ausschließlich verschlüsselte Verbindungen akzeptiert.

Anzeige

Neben dem HSTS-Header gibt es auch die Möglichkeit, seine Webseite direkt in Browser eintragen zu lassen. Google bietet seit kurzem jedem die Möglichkeit hierfür, die entsprechende Liste mit voreingestellten HSTS-Seiten wird auch von Firefox verwendet. Der spanische Sicherheitsforscher Jose Selvi hat das HSTS-Verfahren untersucht und ist dabei auf eine nicht unerhebliche Schwäche gestoßen.

HSTS für begrenzten Zeitraum

HSTS basiert darauf, dass die Webseite dem Client einen Wert in Sekunden mitteilt, für diesen Zeitraum gilt die Webseite dann als geschützt und es werden nur noch HTTPS-Verbindungen zugelassen. Bei jedem erneuten Webseitenaufruf wird dieser Wert aktualisiert. Übliche Werte sind beispielsweise ein halbes Jahr, allerdings fand Selvi heraus, dass beispielsweise Paypal diesen Wert auf lediglich vier Stunden setzt, damit ist der Schutz praktisch wertlos. Auch die im Browser voreingestellten Seiten erhalten nicht zwangsweise Schutz für die Ewigkeit. Im Chrome-Browser etwa wird die maximale Zeit für HSTS auf 1.000 Tage gesetzt.

Selvi stand vor dem Problem, dass er im Zeitraum des HSTS-Schutzes keine Möglichkeit für einen Angriff sah. Man müsste, so Selvi, eine Zeitmaschine haben, um den Nutzer nach dem Ablauf der durch HSTS gesetzten Frist anzugreifen. Eine solche "Zeitmaschine" fand Selvi dann auch - in Form des Network-Time-Protokolls (NTP). Fast alle modernen Betriebssysteme stellen ihre Uhrzeit automatisch mittels NTP über das Internet. Das NTP-Protokoll ist jedoch üblicherweise nicht abgesichert. Verschlüsseltes NTP ist zwar möglich, aber unüblich.

Delorean sendet Systemzeit in die Zukunft

Selvi entwickelte ein Tool, um NTP mittels eines Man-in-the-Middle-Angriffs zu manipulieren. Das Tool nannte er Delorean - nach dem Auto, das in der Trilogie Zurück in die Zukunft als Zeitmaschine dient. Den Code von Delorean hat Selvi auf Github veröffentlicht. Mittels des Man-in-the-Middle-Angriffs war Selvi in der Lage, die Uhrzeit auf dem Rechner eines Opfers zu manipulieren und den Nutzer trotz HSTS mittels SSL-Stripping anzugreifen. Selvi zeigte in seiner Präsentation einen derartigen Angriff auf Google Mail.

Wie erfolgreich ein solcher Zeitmaschinenangriff ist, hängt vom System ab. Relativ einfach gestaltet sich die Situation unter dem älteren Mac OS X Lion. Dort wird die Zeit alle neun Minuten abgefragt. Unter OS X Mavericks ist das System durch einen Bug geschützt: Die Funktion zum automatischen Setzen der Uhrzeit scheint generell nicht zu funktionieren. Unter Ubuntu wird die Zeit bei jeder neuen Netzwerkverbindung und beim Systemstart mittels NTP ersetzt.

Schwierig gestaltete sich der Angriff unter Windows. Dort wird normalerweise nur einmal pro Woche die Zeit neu gesetzt, außerdem akzeptiert das System keine Zeitänderungen, die größer als 15 Stunden sind. Es gebe allerdings im Netz viele Berichte von Personen, denen die wöchentliche Zeitsetzung von Windows zu ungenau ist, sagte Selvi. Viele schlagen vor, den Intervall deutlich niedriger anzusetzen. Wenn ein System sich häufiger als alle 15 Stunden aktualisiert, konnte Selvi den Mechanismus überwinden - er setzte einfach immer die Zeit so, dass wenige Sekunden später der Zeitraum für die nächste Abfrage des NTP-Servers ablief. Diese Methode bezeichnete er als Time Skimming.

Generell nicht funktioniert hat Selvis Angriff auf voreingestellte HTTPS-Webseiten in Safari. Dort werden diese, anders als bei Chrome oder Firefox, nicht für einen begrenzten Zeitraum gesetzt, sie gelten für die Ewigkeit. Der Internet Explorer unterstützt HSTS bislang überhaupt nicht.

Wer ist schuld, Browser oder Betriebssystem?

Das Problem sei, so Selvi, dass Betriebssystem- und Browserhersteller sich gegenseitig die Schuld zuschieben würden. Die Browserhersteller seien der Ansicht, dass das System dafür zuständig sei, dass die Uhrzeit korrekt ist. Die Betriebssystemhersteller hingegen seien oft der Ansicht, dass Applikationen die Systemzeit nicht als vertrauenswürdige Information ansehen sollten.

Abhilfe schaffen könnte, NTP über verschlüsselte Verbindungen einzusetzen. Perfekt ist das allerdings nicht: Man müsste sich dann auf die Vertrauenswürdigkeit des NTP-Serverbetreibers verlassen. Die Methode von Windows, bei automatischen NTP-Abfragen nur eine begrenzte Verschiebung zur aktuellen Systemzeit zuzulassen, hält Selvi für eine gute Methode, um derartige Angriffe zu erschweren.

Die Methode von HSTS, bestimmte Sicherheitsfeatures für einen angegebenen Zeitraum zu setzen, wird auch von anderen Protokollen genutzt. Das neue Feature HTTP Public Key Pinning (HPKP) arbeitet ähnlich, hier könnte man einen vergleichbaren Angriff durchführen.


eye home zur Startseite
hjp 19. Okt 2014

Weil es eine Attacke gegen NTP ist. Dass man die solcherart verstellte Zeit auch gegen...



Anzeige

Stellenmarkt
  1. Wüstenrot & Württembergische Informatik GmbH, Ludwigsburg
  2. Platinion GmbH, München
  3. Continental AG, Babenhausen
  4. OSRAM GmbH, Regensburg


Anzeige
Spiele-Angebote
  1. 12,99€

Folgen Sie uns
       


  1. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  2. Aufblasbar

    Private Raumstation um den Mond soll 2022 starten

  3. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  4. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  5. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  6. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  7. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  8. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  9. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix

  10. Pixel 2 und Pixel 2 XL im Test

    Google fehlt der Mut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: -Getrennte Darstellung okay

    lgo | 19:05

  2. Re: Vermeintliche Konfigurationsnachteile bei...

    Astorek | 19:04

  3. VPN, VPN, VPN

    der_Raupinger | 19:02

  4. Re: Bei Display und Keyboard gibt's Workarounds

    HierIch | 19:01

  5. Re: Fürs deutsche Gesundheitssystem somit ungeeignet.

    Ovaron | 19:00


  1. 19:00

  2. 18:32

  3. 17:48

  4. 17:30

  5. 17:15

  6. 17:00

  7. 16:37

  8. 15:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel