Abo
  • Services:
Anzeige
Der AES-Schlüssel von einigen Cisco-Switches ist in allen Geräten identisch.
Der AES-Schlüssel von einigen Cisco-Switches ist in allen Geräten identisch. (Bild: Hanno Böck)

Linuxtag-Keynote: Lehren aus Heartbleed und ein Schlüssel von Cisco

Felix 'FX' Lindner und Gregor Kopf von Recurity Labs blicken zurück auf Heartbleed und andere Sicherheitslücken in Verschlüsselungssoftware - und veröffentlichen nebenbei einen fest eingestellten Schlüssel von zahlreichen Cisco-Produkten.

Anzeige

"Das ist nicht lustig (auch wenn's so aussieht). Das ist Crypto!!! Die brauchen wir noch" - mit dieser Nachricht auf den Folien begrüßten Felix 'FX' Lindner und sein Kollege Gregor Kopf von der IT-Sicherheitsfirma Recurity Labs die Besucher des Linuxtages.

Lindner und Kopf wagten einen Rückblick auf Heartbleed, die Goto-Fail-Lücke von Apple und zahlreiche andere Sicherheitsprobleme der vergangenen Monate. Außerdem zogen sie einige Schlussfolgerungen für die künftige Entwicklung von Verschlüsselungssoftware. Wie schwer es ist, Kryptographie korrekt zu implementieren, werde häufig unterschätzt, sagte Lindner. Deshalb sei für die meisten auch der wichtigste Hinweis, dass sie Kryptographiecode überhaupt nicht selbst schreiben sollen.

Der Heartbleed-Bug in OpenSSL ist für Lindner ein gutes Beispiel dafür, dass die kritischsten Sicherheitskomponenten oft am schlechtesten finanziert sind. Erst nach dem Heartbleed-Bug hatten sich einige Größen der IT-Branche dazu durchgerungen, die Entwicklung von OpenSSL in großem Maßstab mitzufinanzieren.

Allerdings, so Lindner, fingen die Probleme von Verschlüsselungssoftware bereits bei den Standards an. Die Zertifikatsinfrastruktur von TLS beispielsweise basiert auf einem Protokoll namens X.509, welches wiederum eine Codierung namens ASN.1 nutzt. ASN.1 selbst ist schon ein extrem komplexes Protokoll, das darauf aufbauende X.509 hat das Problem, dass es an manchen Stellen nicht eindeutig spezifiziert ist. Beide Protokolle stammen aus den 80er Jahren und wurden von der ITU (International Telecommunication Union) spezifiziert.

Auch in den Programmiersprachen C und C++ sehen Lindner und Kopf ein grundsätzliches Problem. C-Code ohne Buffer Overflows oder andere Fehler in der Speicherverwaltung zu schreiben, sei fast unmöglich. Deswegen solle sicherheitskritischer Code in Programmiersprachen geschrieben werden, die derartige Speicherprobleme von vornherein verhindern.

Zudem wiesen beide darauf hin, dass gravierende Fehler in Kryptographiesoftware kein Problem quelloffener Software seien. Seit mehreren Jahren versuche er, Cisco auf ein Problem in ihren Enterprise-Produkten hinzuweisen, sagte Lindner. Diese hätten zum Teil statische AES-Schlüssel und Initialisierungsvektoren, die in allen Devices dieselben sind. Cisco hat schon mehrfach fälschlicherweise behauptet, dass das Problem behoben sei. Zum Abschluss des Talks präsentierten Lindner und Kopf daher den privaten Schlüssel, der beispielsweise in den Cisco Nexus 1000v Switches fest einprogrammiert ist.


eye home zur Startseite
bernd71 12. Mai 2014

C in Bibliotheken ist ja auch beliebt da man diese in vielen Umgebungen einsetzen kann...

dschinn1001 11. Mai 2014

... das ist ne uralte geschichte ... und fing schon damals mit dos an bzw. vos ... im 19...

Teut 11. Mai 2014

Das ist doch schon fast public Knowledge das Cisco mit der NSA zusammen arbeitet. Die...

TraxMAX 10. Mai 2014

Wenn man sich an RAII hält, die STL-Container verwendet, sowie wenn nötig Smart-Pointer...



Anzeige

Stellenmarkt
  1. Fidor Bank AG, Berlin
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. MED-EL Medical Electronics, Innsbruck (Österreich)
  4. Paul Bauder GmbH & Co. KG, Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)

Folgen Sie uns
       


  1. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  2. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  3. Nintendo

    Super Mario Run wird umfangreicher und günstiger

  4. Seniorenhandys im Test

    Alter, sind die unpraktisch!

  5. PixelNN

    Mit Machine Learning unscharfe Bilder erkennbar machen

  6. Mobilfunk

    O2 in bayerischer Gemeinde seit 18 Tagen gestört

  7. Elektroauto

    Tesla schafft günstigstes Model S ab

  8. Bundestagswahl 2017

    IT-Probleme verzögerten Stimmübermittlung

  9. Fortnite Battle Royale

    Entwickler von Pubg sorgt sich wegen Unreal Engine

  10. Übernahme

    SAP kauft Gigya für 350 Millionen US-Dollar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Zitis Wer Sicherheitslücken findet, darf sie behalten
  2. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Nur Realms?

    squeezer | 13:32

  2. Re: Kachelfon war meine Lösung

    xxsblack | 13:32

  3. Re: Abrieb

    M.P. | 13:30

  4. Reseller im Kabelnetz

    johnDOE123 | 13:29

  5. Telekom ganz privatisieren

    aPollO2k | 13:27


  1. 13:28

  2. 13:17

  3. 12:25

  4. 12:02

  5. 11:58

  6. 11:34

  7. 11:19

  8. 11:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel