Aktuelles, Branche, Produkte - geschrieben von dp am Donnerstag, August 18, 2016 16:52 - noch keine Kommentare
HEIST: Angriff auf Verschlüsselungsprotokoll TLS ohne Man-in-the-Middle-Attacke
„Breach“-Weiterentwicklung ohne vorherigen Lauschangriff erfolgreich
[datensicherheit.de, 18.08.2016] Laut einer Mitteilung der PSW GROUP haben Forscher der Universität Leuven Timing-Angriffe in „JavaScript“ mit der „Breach“-Attacke kombiniert und damit ein Angriffsszenario erschaffen, das sie „HTTP Encrypted Information can be Stolen through TCP-windows“ (HEIST) nennen. Angriffe gegen „SSL/TLS“ ließen sich mit dieser Methode direkt im Browser durchführen, warnt Christian Heutger, Geschäftsführer der PSW GROUP. Bislang habe ein Angreifer dazu „Man-in-the-Middle“-Attacken durchführen müssen. Mit dieser neuen Methode müsse er den verschlüsselten Traffic nun nicht mehr überwachen können.
Mittels „JavaScript“ die Länge komprimierter und verschlüsselter Informationen extrahieren
Das Forscherteam Tom Van Goethem und Mathy Vanhoef habe herausgefunden, dass sich mithilfe von „JavaScript“ die Länge komprimierter und verschlüsselter Informationen extrahieren lasse. Die Funktionsweise des „Transmission Control Protocols“ (TCP) habe den Forschern geholfen: Bei TCP übertrage der Server zunächst zehn Pakete und warte dann auf Antwort seitens des Clients, um anschließend mehr Pakete zu übertragen. Zwei „JavaScript“-Funktionen ermöglichten Angreifern herauszufinden, wie viel Zeit solche Requests brauchten. Die Server-Antwort im ersten Zehnerpack der TCP-Pakete verlaufe zügiger als Antworten mit mehreren Paketen; dafür werde ein neuer Roundtrip notwendig. Probiere der Angreifer mit reflektierten Parametern herum, finde er heraus, auf welche Größe er die Parameter setzen müsse, um diese in das erste Zehnerpack einzufügen bzw. um es exakt ein Byte groß zu gestalten, erläutert Heutger.
Und genau das ermögliche nun den bereits 2013 vorgestellten „Breach“-Angriff. Lediglich die Antwortlänge müsse ein Angreifer anpassen, um dann durch die Antwortzeit darauf schließen zu können, ob das Folgezeichen korrekt erraten sei.
„Man-in-the-Middle“ gänzlich unnötig
Der Standard HTTP/2 erlaube eine zweite Variante des Angriffs: Hierbei würden sämtliche HTTP-Requests über nur eine TCP-Verbindung geschickt. So klappe der Angriff selbst dann, wenn sich das interessante Geheimnis und der reflektierte String auf verschiedenen Seiten befänden. Das Untermogeln des kontrollierten „JavaScripts“ stelle leider keine Hürde dar, denn gerade Ad-Netzwerke gestalteten ihre Produkte nicht sonderlich sicher und es brauche nur eine „JavaScript“ verwendende Werbeanzeige, so Heutger. Somit müsse der Angreifer nicht einmal den Netzwerkverkehr seines Opfers mitlesen – belauschen via „Man-in-the-Middle“ sei damit gänzlich unnötig.
Christian Heutger: HEIST-Angriffe gegen „SSL/TLS“ direkt im Browser durchführbar
„Same-Site-Cookies“ als gangbare Lösung
HEIST durch Abschalten der Kompression zu begegnen, sei keine effiziente Lösung. HTML-Daten ließen sich bestens komprimieren und ein Verzicht würde immense Performance-Einbußen nach sich ziehen.
„Geheime Daten nicht zu komprimieren, wäre mit der HTTP/2-Headerkompression HPACK möglich, allerdings ist dies für Daten innerhalb des HTML-Parts schwer machbar. Eine einfache Lösung ist, Third-Party-Cookies im verwendeten Browser zu deaktivieren. Allerdings könnte es passieren, dass dann womöglich nicht mehr alle Websites uneingeschränkt aufrufbar sind“, sagt Heutger.
Stattdessen verweist der IT-Sicherheitsexperte auf „Same-Site-Cookies“ als gangbare Lösung: Webapplikationen könnten durch „Same-Site-Cookies“ verhindern, dass sich Site-Zugriffe von anderen Websites in Accounts einloggten. Bislang liege bei der IETF (Internet Engineering Task Force) lediglich ein Entwurf für „Same-Site-Cookies“ vor, jedoch würden sie von Googles Browser „Chrome“ bereits unterstützt.
Weitere Informationen zum Thema:
PSW GROUP, 09.08.2016
Verschlüsselung / HEIST: Angriff auf TLS ohne MITM
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren