Abo
  • Services:
Anzeige
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Nogotofail: Google-Tool hilft Entwicklern bei Netzwerksicherheit

Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Gotofail, Heartbleed, Poodle: Derartige Sicherheitslücken sollen Entwickler, die TLS-Verbindungen benutzten, mit dem Google-Werkzeug Nogotofail verhindern. Genutzt werden dazu MITM und Clients auf vielen Plattformen.

Anzeige

Dass die Verwendung von SSL und TLS allein nicht für die Sicherheit ausreicht, zeigen zahlreiche Lücken in Verbindungen mit den Techniken aus diesem Jahr wie Heartbleed, Poodle oder Gotofail. Letzteres dient auch als Namensgeber für ein Werkzeug von Google, welches das Unternehmen intern bereits benutzt und nun frei zur Verfügung stellt. Mit Nogotofail sollen fehlerhafte Konfigurationen oder auch die Ausnutzung bekannter Sicherheitslücken in SSL/TLS aktiv durch Anwendungsentwickler verhindert werden können.

Obwohl das Werkzeug vom Android-Sicherheitsteam entwickelt worden ist, soll es neben Android auch für iOS, Mac OS X, Windows, Linux, Chrome OS und "tatsächlich für jedes Gerät, das sich mit dem Internet verbindet" genutzt werden können. Zusätzlich zum Finden von Fehlern und der Verifizierung, dass diese behoben sind, soll mit Nogotofail außerdem besser verstanden werden, welcher Netzwerkverkehr durch welche Geräte und Anwendungen hervorgerufen wird.

Man-In-The-Middle und Client

Hauptbestandteil des Werkzeugs ist eine in Python geschriebene Anwendung, die als Man-In-The-Middle (MITM) agiert und per TCP übertragene Daten abfängt, wie es in der Dokumentation heißt. Demnach werden die Daten einzelner Verbindungen wiederum aktiv modifiziert, um diese so auf Fehler zu testen oder nach möglichen Problemen zu suchen. Statt auf Portnummern zu achten, verwendet Nogotofail Deep Packet Inspection, wodurch auch Verbindungen überprüft werden können, die STARTTLS verwenden.

Dabei werden aber nicht sämtliche Verbindungen direkt "zerstörerisch attackiert", vielmehr wird ein probabilistischer Ansatz verfolgt, bei dem nur etwa zehn Prozent aller Verbindungen einem entsprechenden Test unterzogen werden. Das soll vor allem die Funktionsfähigkeit der Testumgebung gewährleisten. Um spezifischer zu testen, kann die Wahrscheinlichkeit aber auch auf 100 Prozent erhöht werden.

Eingesetzt werden kann das Werkzeug auf Routern, VPN- und Proxy-Servern oder eben auch auf einfachen Rechnern. Da es aber oft sehr schwierig ist, genau zu bestimmen, welcher Bestandteil oder welche Anwendung für eine angreifbare Verbindung verantwortlich ist, gehört zu Nogotofail auch ein Client, der bisher für Android- und Linux-Systeme bereit steht.

Der Client läuft auf dem Gerät, sammelt die gewünschten Informationen zu den Verbindungen und kommuniziert mit dem MITM. Darüber hinaus werden Nutzer über gefundene Schwachstellen von dem MITM informiert. So müssen sich die Anwender nicht mehr durch Logdateien arbeiten. Zudem stehen so detaillierte Informationen über die Lücke zur Verfügung, die das Verständnis dieser vereinfachen sollen.

Der Code steht unter der Apache-Lizenz zum Download über Github bereit, der Einsatz des MITM ist auf Linux-System zugeschnitten und verwendet Iptables. Eine kurze Anleitung zur Benutzung findet sich ebenfalls online.


eye home zur Startseite
BigRed 20. Nov 2014

Wir erinnern uns an den Apple SSL Bug: Genau eine Anweisung hat zum Bug und zum Aushebeln...



Anzeige

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn, Darmstadt
  2. Rechenzentrum Region Stuttgart GmbH, Stuttgart
  3. Ratbacher GmbH, Raum Freiburg
  4. MBtech Group GmbH & Co. KGaA, Stuttgart


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)

Folgen Sie uns
       


  1. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  2. Squad

    Valve heuert Entwickler des Kerbal Space Program an

  3. James Gosling

    Java-Erfinder wechselt zu Amazon Web Services

  4. Calliope Mini im Test

    Neuland lernt programmieren

  5. Fernwartung

    Microsoft kämpft weiter gegen Support-Betrüger

  6. Streit beendet

    Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit

  7. Voyager

    Facebook ist mit Glasfasertechnik schnell erfolgreich

  8. HP

    Im Envy 13 steckt eine Geforce MX150

  9. Quantencomputer

    Nano-Kühlung für Qubits

  10. Rockstar Games

    Red Dead Redemption 2 auf Frühjahr 2018 verschoben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: KI?

    tomate.salat.inc | 13:02

  2. Re: *gähn*

    Muhaha | 13:01

  3. Re: Pay to Win?

    david_rieger | 13:01

  4. fehrfehlte Schulpolitik

    schnedan | 12:59

  5. Re: Find ich gut.

    Hotohori | 12:59


  1. 12:58

  2. 12:47

  3. 12:30

  4. 12:00

  5. 11:51

  6. 11:41

  7. 11:26

  8. 11:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel