Abo
  • Services:
Anzeige
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Nogotofail: Google-Tool hilft Entwicklern bei Netzwerksicherheit

Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Gotofail, Heartbleed, Poodle: Derartige Sicherheitslücken sollen Entwickler, die TLS-Verbindungen benutzten, mit dem Google-Werkzeug Nogotofail verhindern. Genutzt werden dazu MITM und Clients auf vielen Plattformen.

Anzeige

Dass die Verwendung von SSL und TLS allein nicht für die Sicherheit ausreicht, zeigen zahlreiche Lücken in Verbindungen mit den Techniken aus diesem Jahr wie Heartbleed, Poodle oder Gotofail. Letzteres dient auch als Namensgeber für ein Werkzeug von Google, welches das Unternehmen intern bereits benutzt und nun frei zur Verfügung stellt. Mit Nogotofail sollen fehlerhafte Konfigurationen oder auch die Ausnutzung bekannter Sicherheitslücken in SSL/TLS aktiv durch Anwendungsentwickler verhindert werden können.

Obwohl das Werkzeug vom Android-Sicherheitsteam entwickelt worden ist, soll es neben Android auch für iOS, Mac OS X, Windows, Linux, Chrome OS und "tatsächlich für jedes Gerät, das sich mit dem Internet verbindet" genutzt werden können. Zusätzlich zum Finden von Fehlern und der Verifizierung, dass diese behoben sind, soll mit Nogotofail außerdem besser verstanden werden, welcher Netzwerkverkehr durch welche Geräte und Anwendungen hervorgerufen wird.

Man-In-The-Middle und Client

Hauptbestandteil des Werkzeugs ist eine in Python geschriebene Anwendung, die als Man-In-The-Middle (MITM) agiert und per TCP übertragene Daten abfängt, wie es in der Dokumentation heißt. Demnach werden die Daten einzelner Verbindungen wiederum aktiv modifiziert, um diese so auf Fehler zu testen oder nach möglichen Problemen zu suchen. Statt auf Portnummern zu achten, verwendet Nogotofail Deep Packet Inspection, wodurch auch Verbindungen überprüft werden können, die STARTTLS verwenden.

Dabei werden aber nicht sämtliche Verbindungen direkt "zerstörerisch attackiert", vielmehr wird ein probabilistischer Ansatz verfolgt, bei dem nur etwa zehn Prozent aller Verbindungen einem entsprechenden Test unterzogen werden. Das soll vor allem die Funktionsfähigkeit der Testumgebung gewährleisten. Um spezifischer zu testen, kann die Wahrscheinlichkeit aber auch auf 100 Prozent erhöht werden.

Eingesetzt werden kann das Werkzeug auf Routern, VPN- und Proxy-Servern oder eben auch auf einfachen Rechnern. Da es aber oft sehr schwierig ist, genau zu bestimmen, welcher Bestandteil oder welche Anwendung für eine angreifbare Verbindung verantwortlich ist, gehört zu Nogotofail auch ein Client, der bisher für Android- und Linux-Systeme bereit steht.

Der Client läuft auf dem Gerät, sammelt die gewünschten Informationen zu den Verbindungen und kommuniziert mit dem MITM. Darüber hinaus werden Nutzer über gefundene Schwachstellen von dem MITM informiert. So müssen sich die Anwender nicht mehr durch Logdateien arbeiten. Zudem stehen so detaillierte Informationen über die Lücke zur Verfügung, die das Verständnis dieser vereinfachen sollen.

Der Code steht unter der Apache-Lizenz zum Download über Github bereit, der Einsatz des MITM ist auf Linux-System zugeschnitten und verwendet Iptables. Eine kurze Anleitung zur Benutzung findet sich ebenfalls online.


eye home zur Startseite
BigRed 20. Nov 2014

Wir erinnern uns an den Apple SSL Bug: Genau eine Anweisung hat zum Bug und zum Aushebeln...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, verschiedene Standorte
  2. LuK GmbH & Co. KG, Bühl
  3. Zurich Gruppe Deutschland, Bonn
  4. Dataport, Hamburg


Anzeige
Spiele-Angebote
  1. 5,99€
  2. (-20%) 39,99€

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: 40.000 EUR.

    Thurius | 05:08

  2. Re: Nach Abschaltung kostenfrei?

    Tecardo | 04:15

  3. Re: 80 Prozent nutzen die kostenfreien SD-Varianten.

    LinuxMcBook | 04:06

  4. Re: Schaltet bitte DVB-S1 endlich ab

    LinuxMcBook | 04:00

  5. Re: Diese Analyse ist ein peinlicher Tiefpunkt

    ve2000 | 03:51


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel