Abo
  • Services:
Anzeige
Das miTLS-Projekt formalisiert die Sicherheit von TLS - und stößt dabei immer wieder auf Sicherheitslücken.
Das miTLS-Projekt formalisiert die Sicherheit von TLS - und stößt dabei immer wieder auf Sicherheitslücken. (Bild: Moyan Brenn/Golem.de/CC BY 2.0)

Virtual Host Confusion

Anzeige

Ein weiteres Problem in TLS, welches das Team von Delignat-Lavaud ausgemacht hat, nennt er Virtual Host Confusion. Setzen verschiedene HTTPS-Hosts Zertifikate ein, die auch für andere Server gültig sind, kann ein Angreifer dies unter Umständen ausnutzen. Relevant ist hierbei, dass Webserver üblicherweise eine Default-Seite ausgeben, wenn man sich mit ihnen über einen unbekannten Hostnamen verbindet.

Als Beispiel zeigte Delignat-Lavaud einen Angriff auf Dropbox. Die normale Dropbox-Seite befindet sich unter www.dropbox.com. Unter dl-web.dropbox.com wiederum kann ein Nutzer eigene Daten ablegen - beispielsweise HTML-Dateien, die einen Cross-Site-Scripting-Angriff durchführen. Die Seite dl-web.dropbox.com hat ein Zertifikat, welches für *.dropbox.com ausgestellt ist, es ist also auch für www.dropbox.com gültig. Ein aktiver Angreifer kann nun durch einen aktiven Angriff dafür sorgen, dass sich der Nutzer, der www.dropbox.com aufruft, in Wirklichkeit mit dl-web.dropbox.com verbindet. Durch weitere Tricks kann der Angreifer dafür sorgen, dass dort die von ihm abgelegte HTML-Datei abgerufen wird. Sie wird dann im Kontext von www.dropbox.com ausgeführt und kann dazu genutzt werden, den Account des Opfers zu übernehmen.

Inzwischen hat Dropbox das Problem behoben. Eine Verbindung zu dl-web.dropbox.com ohne korrekten Hostnamen führt zu einer Fehlermeldung. Diese Strategie ist laut Delignat-Lavaud generell empfehlenswert. Webserver sollten bei unbekannten Hostnamen keine sinnvollen Daten ausgeben, sondern die Verbindung generell mit einem Fehler beantworten.

Noch gravierender ließ sich die Virtual Host Confusion beim Content-Delivery-Netzwerk Akamai ausnutzen. Akamai liefert beim Aufruf mit unbekanntem Hostnamen einen offenen Proxy. Damit lassen sich beliebige Webseiten von Dritten unter Akamai-Host aufrufen. Akamai liefert für zahlreiche populäre Webseiten Dateien mit gültigen Zertifikaten aus, unter anderem für LinkedIn, Twitter, Paypal, Bing, Apple und sogar die NSA. Delignat-Lavaud gelang es damit, eine von ihm kontrollierte Webseite per HTTPS im Namen der NSA auszuliefern.

Verschiedene weitere Varianten dieses Angriffs sind möglich. Ein weiteres ähnliches Problem hat Delignat-Lavaud im SPDY-Protokoll ausgemacht. SPDY ist ein von Google entwickeltes verbessertes HTTP-Protokoll. Wenn ein Nutzer per SPDY mehrere Verbindungen zum selben Server mit verschiedenen Hostnamen ausführt - diese aber dasselbe Zertifikat nutzen -, dann versucht SPDY, diese Verbindungen zu bündeln. Laut Delignat-Lavaud sind dadurch zahlreiche Sicherheitsannahmen, die für TLS gelten, für SPDY nicht mehr gültig. Details zu diesem Problem wollte er aber nicht nennen - denn es gibt bislang noch keine Updates für die betroffenen Browser.

Workarounds beheben Probleme nicht endgültig

Ähnlich wie bei Cookie Clutter basiert Virtual Host Confusion auf zahlreichen bekannten Problemen in TLS. Für Delignat-Lavaud ist das ein Zeichen dafür, dass Sicherheitsprobleme in der Vergangenheit oft unzureichend behoben wurden. Es wurden Workarounds implementiert, die zwar die bekannten Angriffe verhindern, aber die Grundprobleme nicht beheben. Auch der bereits bekannte Triple-Handshake-Angriff ist dafür ein Beispiel. Er nutzt Probleme der TLS-Renegotiation aus, die bereits 2009 zu einem Angriff geführt hatten.

Diese Beobachtung konnte man auch bei verschiedenen anderen TLS-Problemen in der Vergangenheit machen. So war die Lucky-Thirteen-Attacke im Jahr 2013 lediglich eine Neuauflage des Padding-Oracle-Angriffs von 2002. Bei der Verabschiedung des TLS-1.2-Standards war das Problem bekannt und ist sogar im Standard beschrieben. Man hielt es aber nicht für praktisch ausnutzbar.

TLS hat wohl noch einige Probleme. Die neuen Angriffe, die auf der Black Hat 2014 präsentiert wurden, dürften Ansätze für weitere Forschungsarbeiten bieten. Die nächsten TLS-Angriffe sind wohl nur eine Frage der Zeit.

 TLS: Cookie Clutter und Virtual Host Confusion bedrohen HTTPS

eye home zur Startseite
hellmaster159 04. Sep 2014

C auch ;), Ok Javascript nicht da es eine dynamische Sprache ist. Hmm, Was ist Sicher...

TheUnichi 07. Aug 2014

Dann solltest du das kommentieren auf jeden Fall erst mal noch sein lassen und nur...



Anzeige

Stellenmarkt
  1. über Hays AG, Baden-Württemberg
  2. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Nürnberg, Dresden, Zwickau
  3. McFIT Global Group GmbH, Berlin
  4. Stephanus Stiftung, Berlin


Anzeige
Top-Angebote
  1. ab 34,95€ im PCGH-Preisvergleich
  2. ab 17,97€
  3. 359,00€ statt 570,00€

Folgen Sie uns
       


  1. Deutscher Computerspielpreis

    Portal Knights ist das "Beste Deutsche Spiel" 2017

  2. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  3. Elektroauto

    VW testet E-Trucks

  4. Telekom

    IP-Umstellung wird auch bei Geschäftskunden durchgesetzt

  5. Linux-Hardening

    Grsecurity nicht mehr für alle verfügbar

  6. Spracheingabe

    Nuki-Smart-Lock lässt sich mit Alexa öffnen

  7. Mediendienste-Richtlinie

    Youtuber sollen keine Schleichwerbung mehr machen dürfen

  8. Hannover Messe und Cebit

    Die Deutsche Bahn ärgert Messebesucher

  9. LTE

    Australien setzt auf Fixed Wireless mit 1 GBit/s

  10. Ultrastar He12

    HGST liefert seine 12-Terabyte-Festplatte aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

  1. Re: säfte sind nicht gesund

    berritorre | 03:13

  2. Re: Sexistisch! Wo ist die Förderung der Jungen...

    MINTiKi | 02:32

  3. Re: Nachfrage bestimmt Angebot!

    Lemo | 02:20

  4. Forentrolle überall

    Lemo | 02:19

  5. Re: Nein nein und nochmals Nein

    Lemo | 02:17


  1. 23:39

  2. 20:59

  3. 18:20

  4. 18:20

  5. 18:05

  6. 17:46

  7. 17:20

  8. 17:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel