Abo
  • Services:

Nogotofail: Google-Tool hilft Entwicklern bei Netzwerksicherheit

Gotofail, Heartbleed, Poodle: Derartige Sicherheitslücken sollen Entwickler, die TLS-Verbindungen benutzten, mit dem Google-Werkzeug Nogotofail verhindern. Genutzt werden dazu MITM und Clients auf vielen Plattformen.

Artikel veröffentlicht am ,
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Dass die Verwendung von SSL und TLS allein nicht für die Sicherheit ausreicht, zeigen zahlreiche Lücken in Verbindungen mit den Techniken aus diesem Jahr wie Heartbleed, Poodle oder Gotofail. Letzteres dient auch als Namensgeber für ein Werkzeug von Google, welches das Unternehmen intern bereits benutzt und nun frei zur Verfügung stellt. Mit Nogotofail sollen fehlerhafte Konfigurationen oder auch die Ausnutzung bekannter Sicherheitslücken in SSL/TLS aktiv durch Anwendungsentwickler verhindert werden können.

Stellenmarkt
  1. ERWIN HYMER GROUP AG & Co. KG, Bad Waldsee
  2. CRM Partners AG, München, Frankfurt am Main

Obwohl das Werkzeug vom Android-Sicherheitsteam entwickelt worden ist, soll es neben Android auch für iOS, Mac OS X, Windows, Linux, Chrome OS und "tatsächlich für jedes Gerät, das sich mit dem Internet verbindet" genutzt werden können. Zusätzlich zum Finden von Fehlern und der Verifizierung, dass diese behoben sind, soll mit Nogotofail außerdem besser verstanden werden, welcher Netzwerkverkehr durch welche Geräte und Anwendungen hervorgerufen wird.

Man-In-The-Middle und Client

Hauptbestandteil des Werkzeugs ist eine in Python geschriebene Anwendung, die als Man-In-The-Middle (MITM) agiert und per TCP übertragene Daten abfängt, wie es in der Dokumentation heißt. Demnach werden die Daten einzelner Verbindungen wiederum aktiv modifiziert, um diese so auf Fehler zu testen oder nach möglichen Problemen zu suchen. Statt auf Portnummern zu achten, verwendet Nogotofail Deep Packet Inspection, wodurch auch Verbindungen überprüft werden können, die STARTTLS verwenden.

Dabei werden aber nicht sämtliche Verbindungen direkt "zerstörerisch attackiert", vielmehr wird ein probabilistischer Ansatz verfolgt, bei dem nur etwa zehn Prozent aller Verbindungen einem entsprechenden Test unterzogen werden. Das soll vor allem die Funktionsfähigkeit der Testumgebung gewährleisten. Um spezifischer zu testen, kann die Wahrscheinlichkeit aber auch auf 100 Prozent erhöht werden.

Eingesetzt werden kann das Werkzeug auf Routern, VPN- und Proxy-Servern oder eben auch auf einfachen Rechnern. Da es aber oft sehr schwierig ist, genau zu bestimmen, welcher Bestandteil oder welche Anwendung für eine angreifbare Verbindung verantwortlich ist, gehört zu Nogotofail auch ein Client, der bisher für Android- und Linux-Systeme bereit steht.

Der Client läuft auf dem Gerät, sammelt die gewünschten Informationen zu den Verbindungen und kommuniziert mit dem MITM. Darüber hinaus werden Nutzer über gefundene Schwachstellen von dem MITM informiert. So müssen sich die Anwender nicht mehr durch Logdateien arbeiten. Zudem stehen so detaillierte Informationen über die Lücke zur Verfügung, die das Verständnis dieser vereinfachen sollen.

Der Code steht unter der Apache-Lizenz zum Download über Github bereit, der Einsatz des MITM ist auf Linux-System zugeschnitten und verwendet Iptables. Eine kurze Anleitung zur Benutzung findet sich ebenfalls online.



Anzeige
Top-Angebote
  1. 3,82€
  2. 299€
  3. 499€ + Versand

BigRed 20. Nov 2014

Wir erinnern uns an den Apple SSL Bug: Genau eine Anweisung hat zum Bug und zum Aushebeln...


Folgen Sie uns
       


Sony Xperia XZ2 Compact - Test

Sony hat wieder ein Oberklasse-Smartphone geschrumpft: Das Xperia XZ2 Compact hat leistungsfähige Hardware, eine bessere Kamera und passt bequem in eine Hosentasche.

Sony Xperia XZ2 Compact - Test Video aufrufen
Blue Byte: Auf dem Weg in schöner generierte Welten
Blue Byte
Auf dem Weg in schöner generierte Welten

Quo Vadis Gemeinsam mit der Universität Köln arbeitet Ubisoft Blue Byte an neuen Technologien für prozedural generierte Welten. Producer Marc Braun hat einige der neuen Ansätze vorgestellt.

  1. Politik in Games Zwischen Völkerfreundschaft und Präsidentenprügel
  2. Förderung Spielebranche will 50 Millionen Euro vom Steuerzahler
  3. Aus dem Verlag Kamingespräch mit Entwicklerlegende Lord British angekündigt

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Quartalsbericht Facebook macht fast 5 Milliarden US-Dollar Gewinn
  2. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  3. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen

Coradia iLint: Alstoms Brennstoffzellenzug ist erschreckend unspektakulär
Coradia iLint
Alstoms Brennstoffzellenzug ist "erschreckend unspektakulär"

Ein Nahverkehrszug mit Elektroantrieb ist eigentlich keine Erwähnung wert, dieser jedoch schon: Der vom französischen Konzern Alstom entwickelte Coradia iLint hat einen Antrieb mit Brennstoffzelle. Wir sind mitgefahren.
Ein Bericht von Werner Pluta

  1. Alternativer Antrieb Toyota zeigt Brennstoffzellenauto und Bus
  2. General Motors Surus bringt Brennstoffzellen in autonome Lkw
  3. Alternative Antriebe Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

    •  /