Abo
  • Services:
Anzeige
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Nogotofail: Google-Tool hilft Entwicklern bei Netzwerksicherheit

Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen.
Google will Entwicklern bei der Absicherung von SSL/TLS-Verbindungen helfen. (Bild: Lee-Sean Huang - CC-BY-SA 2.0)

Gotofail, Heartbleed, Poodle: Derartige Sicherheitslücken sollen Entwickler, die TLS-Verbindungen benutzten, mit dem Google-Werkzeug Nogotofail verhindern. Genutzt werden dazu MITM und Clients auf vielen Plattformen.

Anzeige

Dass die Verwendung von SSL und TLS allein nicht für die Sicherheit ausreicht, zeigen zahlreiche Lücken in Verbindungen mit den Techniken aus diesem Jahr wie Heartbleed, Poodle oder Gotofail. Letzteres dient auch als Namensgeber für ein Werkzeug von Google, welches das Unternehmen intern bereits benutzt und nun frei zur Verfügung stellt. Mit Nogotofail sollen fehlerhafte Konfigurationen oder auch die Ausnutzung bekannter Sicherheitslücken in SSL/TLS aktiv durch Anwendungsentwickler verhindert werden können.

Obwohl das Werkzeug vom Android-Sicherheitsteam entwickelt worden ist, soll es neben Android auch für iOS, Mac OS X, Windows, Linux, Chrome OS und "tatsächlich für jedes Gerät, das sich mit dem Internet verbindet" genutzt werden können. Zusätzlich zum Finden von Fehlern und der Verifizierung, dass diese behoben sind, soll mit Nogotofail außerdem besser verstanden werden, welcher Netzwerkverkehr durch welche Geräte und Anwendungen hervorgerufen wird.

Man-In-The-Middle und Client

Hauptbestandteil des Werkzeugs ist eine in Python geschriebene Anwendung, die als Man-In-The-Middle (MITM) agiert und per TCP übertragene Daten abfängt, wie es in der Dokumentation heißt. Demnach werden die Daten einzelner Verbindungen wiederum aktiv modifiziert, um diese so auf Fehler zu testen oder nach möglichen Problemen zu suchen. Statt auf Portnummern zu achten, verwendet Nogotofail Deep Packet Inspection, wodurch auch Verbindungen überprüft werden können, die STARTTLS verwenden.

Dabei werden aber nicht sämtliche Verbindungen direkt "zerstörerisch attackiert", vielmehr wird ein probabilistischer Ansatz verfolgt, bei dem nur etwa zehn Prozent aller Verbindungen einem entsprechenden Test unterzogen werden. Das soll vor allem die Funktionsfähigkeit der Testumgebung gewährleisten. Um spezifischer zu testen, kann die Wahrscheinlichkeit aber auch auf 100 Prozent erhöht werden.

Eingesetzt werden kann das Werkzeug auf Routern, VPN- und Proxy-Servern oder eben auch auf einfachen Rechnern. Da es aber oft sehr schwierig ist, genau zu bestimmen, welcher Bestandteil oder welche Anwendung für eine angreifbare Verbindung verantwortlich ist, gehört zu Nogotofail auch ein Client, der bisher für Android- und Linux-Systeme bereit steht.

Der Client läuft auf dem Gerät, sammelt die gewünschten Informationen zu den Verbindungen und kommuniziert mit dem MITM. Darüber hinaus werden Nutzer über gefundene Schwachstellen von dem MITM informiert. So müssen sich die Anwender nicht mehr durch Logdateien arbeiten. Zudem stehen so detaillierte Informationen über die Lücke zur Verfügung, die das Verständnis dieser vereinfachen sollen.

Der Code steht unter der Apache-Lizenz zum Download über Github bereit, der Einsatz des MITM ist auf Linux-System zugeschnitten und verwendet Iptables. Eine kurze Anleitung zur Benutzung findet sich ebenfalls online.


eye home zur Startseite
BigRed 20. Nov 2014

Wir erinnern uns an den Apple SSL Bug: Genau eine Anweisung hat zum Bug und zum Aushebeln...



Anzeige

Stellenmarkt
  1. Bank-Verlag GmbH, Köln
  2. Bechtle GmbH IT-Systemhaus, Nürtingen
  3. Bundesamt für Verfassungsschutz, Köln
  4. Gemeinnützige Werkstätten und Wohnstätten GmbH, Gärtringen


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Game of Thrones, The Big Bang Theory)

Folgen Sie uns
       


  1. Nvidia

    Keine Volta-basierten Geforces in 2017

  2. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  3. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  4. id Software

    Quake Champions startet in den Early Access

  5. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  6. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  7. Open Source Projekt

    Oracle will Java EE abgeben

  8. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  9. Forum

    Reddit bietet native Unterstützung von Videos

  10. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Re: Deshalb braucht man Konkurrenz

    Trockenobst | 02:46

  2. Re: Öffnungszeiten Online einführen!

    Schrödinger's... | 00:43

  3. Re: Theoretisch eine gute Idee....aber in der Praxis?

    Vollstrecker | 00:38

  4. Re: Sinn

    flow77 | 00:32

  5. Re: Standard-YouTube-Lizenz

    redmord | 00:13


  1. 17:56

  2. 16:20

  3. 15:30

  4. 15:07

  5. 14:54

  6. 13:48

  7. 13:15

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel