Abo
  • Services:
Anzeige
Der AES-Schlüssel von einigen Cisco-Switches ist in allen Geräten identisch.
Der AES-Schlüssel von einigen Cisco-Switches ist in allen Geräten identisch. (Bild: Hanno Böck)

Linuxtag-Keynote: Lehren aus Heartbleed und ein Schlüssel von Cisco

Felix 'FX' Lindner und Gregor Kopf von Recurity Labs blicken zurück auf Heartbleed und andere Sicherheitslücken in Verschlüsselungssoftware - und veröffentlichen nebenbei einen fest eingestellten Schlüssel von zahlreichen Cisco-Produkten.

Anzeige

"Das ist nicht lustig (auch wenn's so aussieht). Das ist Crypto!!! Die brauchen wir noch" - mit dieser Nachricht auf den Folien begrüßten Felix 'FX' Lindner und sein Kollege Gregor Kopf von der IT-Sicherheitsfirma Recurity Labs die Besucher des Linuxtages.

Lindner und Kopf wagten einen Rückblick auf Heartbleed, die Goto-Fail-Lücke von Apple und zahlreiche andere Sicherheitsprobleme der vergangenen Monate. Außerdem zogen sie einige Schlussfolgerungen für die künftige Entwicklung von Verschlüsselungssoftware. Wie schwer es ist, Kryptographie korrekt zu implementieren, werde häufig unterschätzt, sagte Lindner. Deshalb sei für die meisten auch der wichtigste Hinweis, dass sie Kryptographiecode überhaupt nicht selbst schreiben sollen.

Der Heartbleed-Bug in OpenSSL ist für Lindner ein gutes Beispiel dafür, dass die kritischsten Sicherheitskomponenten oft am schlechtesten finanziert sind. Erst nach dem Heartbleed-Bug hatten sich einige Größen der IT-Branche dazu durchgerungen, die Entwicklung von OpenSSL in großem Maßstab mitzufinanzieren.

Allerdings, so Lindner, fingen die Probleme von Verschlüsselungssoftware bereits bei den Standards an. Die Zertifikatsinfrastruktur von TLS beispielsweise basiert auf einem Protokoll namens X.509, welches wiederum eine Codierung namens ASN.1 nutzt. ASN.1 selbst ist schon ein extrem komplexes Protokoll, das darauf aufbauende X.509 hat das Problem, dass es an manchen Stellen nicht eindeutig spezifiziert ist. Beide Protokolle stammen aus den 80er Jahren und wurden von der ITU (International Telecommunication Union) spezifiziert.

Auch in den Programmiersprachen C und C++ sehen Lindner und Kopf ein grundsätzliches Problem. C-Code ohne Buffer Overflows oder andere Fehler in der Speicherverwaltung zu schreiben, sei fast unmöglich. Deswegen solle sicherheitskritischer Code in Programmiersprachen geschrieben werden, die derartige Speicherprobleme von vornherein verhindern.

Zudem wiesen beide darauf hin, dass gravierende Fehler in Kryptographiesoftware kein Problem quelloffener Software seien. Seit mehreren Jahren versuche er, Cisco auf ein Problem in ihren Enterprise-Produkten hinzuweisen, sagte Lindner. Diese hätten zum Teil statische AES-Schlüssel und Initialisierungsvektoren, die in allen Devices dieselben sind. Cisco hat schon mehrfach fälschlicherweise behauptet, dass das Problem behoben sei. Zum Abschluss des Talks präsentierten Lindner und Kopf daher den privaten Schlüssel, der beispielsweise in den Cisco Nexus 1000v Switches fest einprogrammiert ist.


eye home zur Startseite
bernd71 12. Mai 2014

C in Bibliotheken ist ja auch beliebt da man diese in vielen Umgebungen einsetzen kann...

dschinn1001 11. Mai 2014

... das ist ne uralte geschichte ... und fing schon damals mit dos an bzw. vos ... im 19...

Teut 11. Mai 2014

Das ist doch schon fast public Knowledge das Cisco mit der NSA zusammen arbeitet. Die...

TraxMAX 10. Mai 2014

Wenn man sich an RAII hält, die STL-Container verwendet, sowie wenn nötig Smart-Pointer...



Anzeige

Stellenmarkt
  1. Sagemcom Fröschl GmbH, Walderbach (zwischen Cham und Regensburg)
  2. Worldline GmbH, Aachen
  3. twocream, Wuppertal
  4. HDPnet GmbH, Heidelberg


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 64,97€/69,97€
  3. 389,99€

Folgen Sie uns
       


  1. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  2. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  3. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops

  4. O2 und E-Plus

    Telefónica hat weiter Probleme außerhalb von Städten

  5. Project Zero

    Google-Entwickler baut Windows-Loader für Linux

  6. Dan Cases A4-SFX v2

    Minigehäuse erhält Fenster und wird Wakü-kompatibel

  7. Razer Core im Test

    Grafikbox + Ultrabook = Gaming-System

  8. iPhone-Hersteller

    Apple testet 5G-Technologie

  9. Cern

    Der LHC ist zurück aus der Winterpause

  10. Jamboard

    Googles Smartboard kommt in den USA auf den Markt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Pay to Win?

    david_rieger | 15:55

  2. Re: Far Cry 5 wird wohl der Grund sein

    RickRickdiculou... | 15:55

  3. Re: 40 Lichtjahre - Wie schnell wären wir da?

    MarcJohanson | 15:53

  4. Re: Oh wie gnädig von Leica...

    L83 | 15:49

  5. Re: Linux?

    david_rieger | 15:49


  1. 15:40

  2. 15:32

  3. 15:20

  4. 14:59

  5. 13:22

  6. 12:41

  7. 12:01

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel