Abo
  • Services:
Anzeige
Das miTLS-Projekt formalisiert die Sicherheit von TLS - und stößt dabei immer wieder auf Sicherheitslücken.
Das miTLS-Projekt formalisiert die Sicherheit von TLS - und stößt dabei immer wieder auf Sicherheitslücken. (Bild: Moyan Brenn/Golem.de/CC BY 2.0)

Virtual Host Confusion

Anzeige

Ein weiteres Problem in TLS, welches das Team von Delignat-Lavaud ausgemacht hat, nennt er Virtual Host Confusion. Setzen verschiedene HTTPS-Hosts Zertifikate ein, die auch für andere Server gültig sind, kann ein Angreifer dies unter Umständen ausnutzen. Relevant ist hierbei, dass Webserver üblicherweise eine Default-Seite ausgeben, wenn man sich mit ihnen über einen unbekannten Hostnamen verbindet.

Als Beispiel zeigte Delignat-Lavaud einen Angriff auf Dropbox. Die normale Dropbox-Seite befindet sich unter www.dropbox.com. Unter dl-web.dropbox.com wiederum kann ein Nutzer eigene Daten ablegen - beispielsweise HTML-Dateien, die einen Cross-Site-Scripting-Angriff durchführen. Die Seite dl-web.dropbox.com hat ein Zertifikat, welches für *.dropbox.com ausgestellt ist, es ist also auch für www.dropbox.com gültig. Ein aktiver Angreifer kann nun durch einen aktiven Angriff dafür sorgen, dass sich der Nutzer, der www.dropbox.com aufruft, in Wirklichkeit mit dl-web.dropbox.com verbindet. Durch weitere Tricks kann der Angreifer dafür sorgen, dass dort die von ihm abgelegte HTML-Datei abgerufen wird. Sie wird dann im Kontext von www.dropbox.com ausgeführt und kann dazu genutzt werden, den Account des Opfers zu übernehmen.

Inzwischen hat Dropbox das Problem behoben. Eine Verbindung zu dl-web.dropbox.com ohne korrekten Hostnamen führt zu einer Fehlermeldung. Diese Strategie ist laut Delignat-Lavaud generell empfehlenswert. Webserver sollten bei unbekannten Hostnamen keine sinnvollen Daten ausgeben, sondern die Verbindung generell mit einem Fehler beantworten.

Noch gravierender ließ sich die Virtual Host Confusion beim Content-Delivery-Netzwerk Akamai ausnutzen. Akamai liefert beim Aufruf mit unbekanntem Hostnamen einen offenen Proxy. Damit lassen sich beliebige Webseiten von Dritten unter Akamai-Host aufrufen. Akamai liefert für zahlreiche populäre Webseiten Dateien mit gültigen Zertifikaten aus, unter anderem für LinkedIn, Twitter, Paypal, Bing, Apple und sogar die NSA. Delignat-Lavaud gelang es damit, eine von ihm kontrollierte Webseite per HTTPS im Namen der NSA auszuliefern.

Verschiedene weitere Varianten dieses Angriffs sind möglich. Ein weiteres ähnliches Problem hat Delignat-Lavaud im SPDY-Protokoll ausgemacht. SPDY ist ein von Google entwickeltes verbessertes HTTP-Protokoll. Wenn ein Nutzer per SPDY mehrere Verbindungen zum selben Server mit verschiedenen Hostnamen ausführt - diese aber dasselbe Zertifikat nutzen -, dann versucht SPDY, diese Verbindungen zu bündeln. Laut Delignat-Lavaud sind dadurch zahlreiche Sicherheitsannahmen, die für TLS gelten, für SPDY nicht mehr gültig. Details zu diesem Problem wollte er aber nicht nennen - denn es gibt bislang noch keine Updates für die betroffenen Browser.

Workarounds beheben Probleme nicht endgültig

Ähnlich wie bei Cookie Clutter basiert Virtual Host Confusion auf zahlreichen bekannten Problemen in TLS. Für Delignat-Lavaud ist das ein Zeichen dafür, dass Sicherheitsprobleme in der Vergangenheit oft unzureichend behoben wurden. Es wurden Workarounds implementiert, die zwar die bekannten Angriffe verhindern, aber die Grundprobleme nicht beheben. Auch der bereits bekannte Triple-Handshake-Angriff ist dafür ein Beispiel. Er nutzt Probleme der TLS-Renegotiation aus, die bereits 2009 zu einem Angriff geführt hatten.

Diese Beobachtung konnte man auch bei verschiedenen anderen TLS-Problemen in der Vergangenheit machen. So war die Lucky-Thirteen-Attacke im Jahr 2013 lediglich eine Neuauflage des Padding-Oracle-Angriffs von 2002. Bei der Verabschiedung des TLS-1.2-Standards war das Problem bekannt und ist sogar im Standard beschrieben. Man hielt es aber nicht für praktisch ausnutzbar.

TLS hat wohl noch einige Probleme. Die neuen Angriffe, die auf der Black Hat 2014 präsentiert wurden, dürften Ansätze für weitere Forschungsarbeiten bieten. Die nächsten TLS-Angriffe sind wohl nur eine Frage der Zeit.

 TLS: Cookie Clutter und Virtual Host Confusion bedrohen HTTPS

eye home zur Startseite
hellmaster159 04. Sep 2014

C auch ;), Ok Javascript nicht da es eine dynamische Sprache ist. Hmm, Was ist Sicher...

TheUnichi 07. Aug 2014

Dann solltest du das kommentieren auf jeden Fall erst mal noch sein lassen und nur...



Anzeige

Stellenmarkt
  1. Daimler AG, Ludwigsfelde
  2. 50Hertz Transmission GmbH, Neuenhagen bei Berlin
  3. Daimler AG, Böblingen
  4. GK Software AG, Berlin, Schöneck oder St. Ingbert


Anzeige
Top-Angebote
  1. bei Bezahlung per Paydirect - 50€ Mindestbestellwert
  2. mit bis zu 25 % Rabatt auf Artikel im Bereich Werkzeug, Grill, Outdoor-Spielzeug und Garten
  3. 27,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. DVB-T2

    Freenet TV gibt es auch als monatliches Abo

  2. Betrugsnetzwerk

    Kinox.to-Nutzern Abofallen andrehen

  3. Innogy

    Energieversorger macht Elektroautos und Hybride zur Pflicht

  4. Patentantrag

    Apple will iPhone ins Macbook stecken

  5. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  6. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  7. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  8. Messenger

    Facebook sagt "Daumen runter"

  9. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  10. Overwatch

    Blizzard will bessere Beschwerden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

  1. Re: Denen geht das A-Wasser

    JackIsBlack | 11:08

  2. Re: Verstehe das Genörgel nicht

    ZuWortMelder | 11:06

  3. Re: 1&1 nicht zu empfehlen

    Ratamahatta | 11:05

  4. Re: Gab's doch schon! - Asus Padfone

    david_rieger | 11:05

  5. Re: Drittanbietersperre und evtl. Sperr-APN

    rldml | 11:04


  1. 09:32

  2. 08:31

  3. 07:22

  4. 07:11

  5. 18:26

  6. 18:18

  7. 18:08

  8. 17:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel