• IT-Karriere:
  • Services:

Linuxtag-Keynote: Lehren aus Heartbleed und ein Schlüssel von Cisco

Felix 'FX' Lindner und Gregor Kopf von Recurity Labs blicken zurück auf Heartbleed und andere Sicherheitslücken in Verschlüsselungssoftware - und veröffentlichen nebenbei einen fest eingestellten Schlüssel von zahlreichen Cisco-Produkten.

Artikel veröffentlicht am , Hanno Böck
Der AES-Schlüssel von einigen Cisco-Switches ist in allen Geräten identisch.
Der AES-Schlüssel von einigen Cisco-Switches ist in allen Geräten identisch. (Bild: Hanno Böck)

"Das ist nicht lustig (auch wenn's so aussieht). Das ist Crypto!!! Die brauchen wir noch" - mit dieser Nachricht auf den Folien begrüßten Felix 'FX' Lindner und sein Kollege Gregor Kopf von der IT-Sicherheitsfirma Recurity Labs die Besucher des Linuxtages.

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. MicroNova AG, München, Vierkirchen

Lindner und Kopf wagten einen Rückblick auf Heartbleed, die Goto-Fail-Lücke von Apple und zahlreiche andere Sicherheitsprobleme der vergangenen Monate. Außerdem zogen sie einige Schlussfolgerungen für die künftige Entwicklung von Verschlüsselungssoftware. Wie schwer es ist, Kryptographie korrekt zu implementieren, werde häufig unterschätzt, sagte Lindner. Deshalb sei für die meisten auch der wichtigste Hinweis, dass sie Kryptographiecode überhaupt nicht selbst schreiben sollen.

Der Heartbleed-Bug in OpenSSL ist für Lindner ein gutes Beispiel dafür, dass die kritischsten Sicherheitskomponenten oft am schlechtesten finanziert sind. Erst nach dem Heartbleed-Bug hatten sich einige Größen der IT-Branche dazu durchgerungen, die Entwicklung von OpenSSL in großem Maßstab mitzufinanzieren.

Allerdings, so Lindner, fingen die Probleme von Verschlüsselungssoftware bereits bei den Standards an. Die Zertifikatsinfrastruktur von TLS beispielsweise basiert auf einem Protokoll namens X.509, welches wiederum eine Codierung namens ASN.1 nutzt. ASN.1 selbst ist schon ein extrem komplexes Protokoll, das darauf aufbauende X.509 hat das Problem, dass es an manchen Stellen nicht eindeutig spezifiziert ist. Beide Protokolle stammen aus den 80er Jahren und wurden von der ITU (International Telecommunication Union) spezifiziert.

Auch in den Programmiersprachen C und C++ sehen Lindner und Kopf ein grundsätzliches Problem. C-Code ohne Buffer Overflows oder andere Fehler in der Speicherverwaltung zu schreiben, sei fast unmöglich. Deswegen solle sicherheitskritischer Code in Programmiersprachen geschrieben werden, die derartige Speicherprobleme von vornherein verhindern.

Zudem wiesen beide darauf hin, dass gravierende Fehler in Kryptographiesoftware kein Problem quelloffener Software seien. Seit mehreren Jahren versuche er, Cisco auf ein Problem in ihren Enterprise-Produkten hinzuweisen, sagte Lindner. Diese hätten zum Teil statische AES-Schlüssel und Initialisierungsvektoren, die in allen Devices dieselben sind. Cisco hat schon mehrfach fälschlicherweise behauptet, dass das Problem behoben sei. Zum Abschluss des Talks präsentierten Lindner und Kopf daher den privaten Schlüssel, der beispielsweise in den Cisco Nexus 1000v Switches fest einprogrammiert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 33,99€
  2. 15,99€
  3. 4,87€

bernd71 12. Mai 2014

C in Bibliotheken ist ja auch beliebt da man diese in vielen Umgebungen einsetzen kann...

dschinn1001 11. Mai 2014

... das ist ne uralte geschichte ... und fing schon damals mit dos an bzw. vos ... im 19...

Teut 11. Mai 2014

Das ist doch schon fast public Knowledge das Cisco mit der NSA zusammen arbeitet. Die...

TraxMAX 10. Mai 2014

Wenn man sich an RAII hält, die STL-Container verwendet, sowie wenn nötig Smart-Pointer...


Folgen Sie uns
       


Monkey Island - Titelmusik aller Versionen

Wir haben alle Varianten der Titelmusik im Video zusammengestellt - plus Bonusversion.

Monkey Island - Titelmusik aller Versionen Video aufrufen
Pixel 4a 5G im Test: Das alternative Pixel 5 XL
Pixel 4a 5G im Test
Das alternative Pixel 5 XL

2020 gibt es kein Pixel 5 XL - oder etwa doch? Das Pixel 4a 5G ist größer als das Pixel 5, die grundlegende Hardware ist ähnlich bis gleich. Das Smartphone bietet trotz Abstrichen eine Menge.
Ein Test von Tobias Költzsch

  1. Schnelle Webseiten Google will AMP-Seiten nicht mehr bevorzugen
  2. Digitale-Dienste-Gesetz Will die EU-Kommission doch keine Konzerne zerschlagen?
  3. Google Fotos Kein unbegrenzter Fotospeicher für neue Pixel

Energy Robotics: Ein kopfloser Hund für 74.500 US-Dollar
Energy Robotics
Ein kopfloser Hund für 74.500 US-Dollar

Als eines der ersten deutschen Unternehmen setzt Energy Robotics den Roboterhund Spot ein. Sein Vorteil: Er ist vollautomatisch und langweilt sich nie.
Ein Bericht von Werner Pluta

  1. Kickstarter Nibble ist ein vierbeiniger Laufroboter im Mini-Format
  2. Boston Dynamics Roboterhunde scannen ein Werk von Ford
  3. Robotik Laborroboter forscht selbstständig

Energie- und Verkehrswende: Klimaneutrales Fliegen in weiter Ferne
Energie- und Verkehrswende
Klimaneutrales Fliegen in weiter Ferne

Wasserstoff-Flugzeuge und E-Fuels könnten den Flugverkehr klimafreundlicher machen, sie werden aber gigantische Mengen Strom benötigen.
Eine Recherche von Hanno Böck

  1. Luftfahrt Neuer Flughafen in Berlin ist eröffnet
  2. Luftfahrt Booms Überschallprototyp wird im Oktober enthüllt
  3. Flugzeuge CO2-neutral zu fliegen, reicht nicht

    •  /