Aktuelles, Branche, Produkte - geschrieben von dp am Donnerstag, August 18, 2016 16:52 - noch keine Kommentare
HEIST: Angriff auf Verschlüsselungsprotokoll TLS ohne Man-in-the-Middle-Attacke
„Breach“-Weiterentwicklung ohne vorherigen Lauschangriff erfolgreich
[datensicherheit.de, 18.08.2016] Laut einer Mitteilung der PSW GROUP haben Forscher der Universität Leuven Timing-Angriffe in „JavaScript“ mit der „Breach“-Attacke kombiniert und damit ein Angriffsszenario erschaffen, das sie „HTTP Encrypted Information can be Stolen through TCP-windows“ (HEIST) nennen. Angriffe gegen „SSL/TLS“ ließen sich mit dieser Methode direkt im Browser durchführen, warnt Christian Heutger, Geschäftsführer der PSW GROUP. Bislang habe ein Angreifer dazu „Man-in-the-Middle“-Attacken durchführen müssen. Mit dieser neuen Methode müsse er den verschlüsselten Traffic nun nicht mehr überwachen können.
Mittels „JavaScript“ die Länge komprimierter und verschlüsselter Informationen extrahieren
Das Forscherteam Tom Van Goethem und Mathy Vanhoef habe herausgefunden, dass sich mithilfe von „JavaScript“ die Länge komprimierter und verschlüsselter Informationen extrahieren lasse. Die Funktionsweise des „Transmission Control Protocols“ (TCP) habe den Forschern geholfen: Bei TCP übertrage der Server zunächst zehn Pakete und warte dann auf Antwort seitens des Clients, um anschließend mehr Pakete zu übertragen. Zwei „JavaScript“-Funktionen ermöglichten Angreifern herauszufinden, wie viel Zeit solche Requests brauchten. Die Server-Antwort im ersten Zehnerpack der TCP-Pakete verlaufe zügiger als Antworten mit mehreren Paketen; dafür werde ein neuer Roundtrip notwendig. Probiere der Angreifer mit reflektierten Parametern herum, finde er heraus, auf welche Größe er die Parameter setzen müsse, um diese in das erste Zehnerpack einzufügen bzw. um es exakt ein Byte groß zu gestalten, erläutert Heutger.
Und genau das ermögliche nun den bereits 2013 vorgestellten „Breach“-Angriff. Lediglich die Antwortlänge müsse ein Angreifer anpassen, um dann durch die Antwortzeit darauf schließen zu können, ob das Folgezeichen korrekt erraten sei.
„Man-in-the-Middle“ gänzlich unnötig
Der Standard HTTP/2 erlaube eine zweite Variante des Angriffs: Hierbei würden sämtliche HTTP-Requests über nur eine TCP-Verbindung geschickt. So klappe der Angriff selbst dann, wenn sich das interessante Geheimnis und der reflektierte String auf verschiedenen Seiten befänden. Das Untermogeln des kontrollierten „JavaScripts“ stelle leider keine Hürde dar, denn gerade Ad-Netzwerke gestalteten ihre Produkte nicht sonderlich sicher und es brauche nur eine „JavaScript“ verwendende Werbeanzeige, so Heutger. Somit müsse der Angreifer nicht einmal den Netzwerkverkehr seines Opfers mitlesen – belauschen via „Man-in-the-Middle“ sei damit gänzlich unnötig.
Christian Heutger: HEIST-Angriffe gegen „SSL/TLS“ direkt im Browser durchführbar
„Same-Site-Cookies“ als gangbare Lösung
HEIST durch Abschalten der Kompression zu begegnen, sei keine effiziente Lösung. HTML-Daten ließen sich bestens komprimieren und ein Verzicht würde immense Performance-Einbußen nach sich ziehen.
„Geheime Daten nicht zu komprimieren, wäre mit der HTTP/2-Headerkompression HPACK möglich, allerdings ist dies für Daten innerhalb des HTML-Parts schwer machbar. Eine einfache Lösung ist, Third-Party-Cookies im verwendeten Browser zu deaktivieren. Allerdings könnte es passieren, dass dann womöglich nicht mehr alle Websites uneingeschränkt aufrufbar sind“, sagt Heutger.
Stattdessen verweist der IT-Sicherheitsexperte auf „Same-Site-Cookies“ als gangbare Lösung: Webapplikationen könnten durch „Same-Site-Cookies“ verhindern, dass sich Site-Zugriffe von anderen Websites in Accounts einloggten. Bislang liege bei der IETF (Internet Engineering Task Force) lediglich ein Entwurf für „Same-Site-Cookies“ vor, jedoch würden sie von Googles Browser „Chrome“ bereits unterstützt.
Weitere Informationen zum Thema:
PSW GROUP, 09.08.2016
Verschlüsselung / HEIST: Angriff auf TLS ohne MITM
Aktuelles, Experten - Sep 19, 2024 18:46 - noch keine Kommentare
Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
weitere Beiträge in Experten
- GI-Arbeitskreis fordert stärkere Kontrollen nach Softwarefehler bei Landtagswahlen 2024 in Sachsen
- eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
Aktuelles, Branche, Studien - Sep 19, 2024 18:36 - noch keine Kommentare
Risiko für Datensicherheit bei Geschäftsreisen: Zwei Drittel der Zugpendler potenzielle Voyeure
weitere Beiträge in Branche
- Cyber-Sicherheitsbedürfnisse zusätzlich in Effizienzgewinne umwandeln
- NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf
- Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich
- SANS Institute gibt eBook zur Cloud-Sicherheit heraus
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren