Websecurity: Jahresrückblick
Von Carsten Eilers
()
Über dieses E-Book
Mehr von Carsten Eilers lesen
shortcuts iOS Security: Sichere Apps für iPhone und iPad Bewertung: 0 von 5 Sternen0 Bewertungen
Ähnlich wie Websecurity
Titel in dieser Serie (100)
Zend Framework 2: Für Einsteiger und Umsteiger Bewertung: 0 von 5 Sternen0 BewertungenJavaScript für Eclipse-Entwickler: Orion, RAP und GWT Bewertung: 0 von 5 Sternen0 BewertungenIT Wissensmanagement: Theorie und Praxis Bewertung: 0 von 5 Sternen0 BewertungenHTML5 Security Bewertung: 0 von 5 Sternen0 BewertungenEinstieg in Google Go Bewertung: 0 von 5 Sternen0 BewertungenJavaScript auf dem Server Bewertung: 0 von 5 Sternen0 BewertungenNFC: Near Field Communication für Android-Entwickler Bewertung: 5 von 5 Sternen5/5HTML5 für Mobile Web Bewertung: 0 von 5 Sternen0 BewertungenSkalierbare Softwaresysteme: Design, Betrieb und Optimierungspotenziale Bewertung: 0 von 5 Sternen0 BewertungenUser Experience Testing 3.0: Status Quo, Entwicklung und Trends Bewertung: 0 von 5 Sternen0 BewertungenAlgorithmen: Grundlagen und Implementierung Bewertung: 0 von 5 Sternen0 BewertungenServiceorientierte Architektur: Anforderungen, Konzeption und Praxiserfahrungen Bewertung: 0 von 5 Sternen0 BewertungenErfolgreiche Spieleentwicklung: OpenGL, OpenAL und KI Bewertung: 0 von 5 Sternen0 BewertungenJava EE Security Bewertung: 0 von 5 Sternen0 BewertungenUX Design für Tablet-Websites: Ein Überblick Bewertung: 0 von 5 Sternen0 BewertungenErfolgreiche Spieleentwicklung: OpenCL Bewertung: 0 von 5 Sternen0 BewertungenGeolocation mit PHP: Foursquare-API, Google Places & Qype Bewertung: 0 von 5 Sternen0 BewertungenADF - Mobile Apps entwickeln und Swing ablösen: Mobile Apps entwickeln und Swing ablösen Bewertung: 0 von 5 Sternen0 BewertungenÜberzeugende Präsentationen: Konzeption, Technik und Design Bewertung: 0 von 5 Sternen0 BewertungenApache Tapestry: Einstieg in die komponentenorientierte Webentwicklung Bewertung: 0 von 5 Sternen0 BewertungenTFS 2012 Versionskontrolle: Grundlagen, Check-In Policies und Branch-Modelle Bewertung: 0 von 5 Sternen0 BewertungenQualitätssicherung mit JavaScript und PHP Bewertung: 0 von 5 Sternen0 BewertungenMobile Business: Was Entscheider morgen wissen müssen Bewertung: 0 von 5 Sternen0 BewertungenJava 7: Fork-Join-Framework und Phaser Bewertung: 0 von 5 Sternen0 BewertungenNutzeraspekte in Suchmaschinen: Komponenten für eine gelungene Usability-Gestaltung Bewertung: 0 von 5 Sternen0 BewertungenQualität in IT-Architekturen: Strategie und Planung Bewertung: 0 von 5 Sternen0 BewertungenAmazon Web Services für .NET Entwickler Bewertung: 0 von 5 Sternen0 BewertungenSharePoint-Entwicklung für Einsteiger Bewertung: 0 von 5 Sternen0 BewertungenNintex Workflow: Konzepte und Strategien für leistungsfähige SharePoint-Workflows Bewertung: 0 von 5 Sternen0 BewertungenJava EE 7: Ein Ausblick Bewertung: 0 von 5 Sternen0 Bewertungen
Ähnliche E-Books
Die Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Bewertung: 0 von 5 Sternen0 BewertungenData Loss Prevention und Incident Response: Schutz vor Hackerangriffen Bewertung: 0 von 5 Sternen0 BewertungenSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Bewertung: 0 von 5 Sternen0 BewertungenWebsecurity: Angriffe mit SSRF, CSRF und XML Bewertung: 0 von 5 Sternen0 BewertungenJavaScript Security: Sicherheit im Webbrowser Bewertung: 0 von 5 Sternen0 BewertungenHacking und Bug Hunting: Wie man Softwarefehler aufspürt und damit Geld verdient – ein Blick über die Schulter eines erfolgreichen Bug Hunters Bewertung: 0 von 5 Sternen0 BewertungenDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 24. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenAngriffsziel UI: Benutzeraktionen, Passwörter und Clickjacking Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 26. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 BewertungenRisiken in der IT: Erkennen - Steuern - Verbessern: Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb Bewertung: 0 von 5 Sternen0 BewertungenInternet of Things: Grundlagen und App-Entwicklung für Windows 10 IoT Bewertung: 0 von 5 Sternen0 BewertungenUsable Security und Privacy by Design Bewertung: 0 von 5 Sternen0 Bewertungensichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 BewertungenInformation Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik Bewertung: 0 von 5 Sternen0 BewertungenSocial Engineering - Der Mensch als Sicherheitsrisiko in der IT Bewertung: 0 von 5 Sternen0 BewertungenPrivacy Impact Assessment: Datenschutz-Folgenabschätzung nach ISO/IEC 29134 und ihre Anwendung im Rahmen der EU-DSGVO Bewertung: 0 von 5 Sternen0 BewertungenKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenCloud-Services testen: Von der Risikobetrachtung zu wirksamen Testmaßnahmen Bewertung: 0 von 5 Sternen0 BewertungenRequirement Management Systeme: Suche und Bewertung geeigneter Tools in der Software-Entwicklung Bewertung: 0 von 5 Sternen0 BewertungenSpurlos & Verschlüsselt! Bewertung: 0 von 5 Sternen0 BewertungenITIL konformes Incident Management im Bereich der Software-Entwicklung: Chancen im Einsatz von Open Source Software Bewertung: 0 von 5 Sternen0 BewertungenWindows Server 2012 R2 - Der schnelle Einstieg Bewertung: 0 von 5 Sternen0 BewertungenQualität in IT-Architekturen: Strategie und Planung Bewertung: 0 von 5 Sternen0 BewertungenMobile App Testing: Praxisleitfaden für Softwaretester und Entwickler mobiler Anwendungen Bewertung: 0 von 5 Sternen0 BewertungenHacken mit 'e': Das ultimative Hacker-Buch - für alle Insider und solche die es werden wollen! Bewertung: 0 von 5 Sternen0 BewertungenIT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Bewertung: 0 von 5 Sternen0 BewertungenKünstliche Intelligenz Bewertung: 0 von 5 Sternen0 Bewertungen
Sicherheit für Sie
Cybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Bewertung: 0 von 5 Sternen0 BewertungenNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Bewertung: 5 von 5 Sternen5/5Heim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Bewertung: 0 von 5 Sternen0 BewertungenHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Bewertung: 0 von 5 Sternen0 BewertungenWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Bewertung: 0 von 5 Sternen0 BewertungenEinführung ins Darknet: Darknet ABC Bewertung: 0 von 5 Sternen0 BewertungenDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Bewertung: 0 von 5 Sternen0 BewertungenHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Bewertung: 0 von 5 Sternen0 BewertungenBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Bewertung: 3 von 5 Sternen3/5Ich Hacker – Du Script-Kiddy: Hacking und Cracking Bewertung: 0 von 5 Sternen0 BewertungenResilience: Wie Netflix sein System schützt Bewertung: 0 von 5 Sternen0 BewertungenISO27001/ISO27002: Ein Taschenführer Bewertung: 0 von 5 Sternen0 BewertungenKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Bewertung: 0 von 5 Sternen0 BewertungenFRITZ!Box: Konfigurieren - Tunen - Absichern Bewertung: 0 von 5 Sternen0 BewertungenÜberwachungswahn: ...wie umgehen ?? Bewertung: 0 von 5 Sternen0 BewertungenWeg ins Darknet und Im Darknet Bewertung: 0 von 5 Sternen0 BewertungenNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Bewertung: 0 von 5 Sternen0 BewertungenHacken mit Kali-Linux: Schnelleinstieg für Anfänger Bewertung: 0 von 5 Sternen0 BewertungenHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Bewertung: 0 von 5 Sternen0 BewertungenVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Bewertung: 5 von 5 Sternen5/5sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Websecurity
0 Bewertungen0 Rezensionen
Buchvorschau
Websecurity - Carsten Eilers
GmbH
1 Angriffe in OpenSSL und SSL/TLS
Noch nie war es mit der Sicherheit im Internet so schlecht bestellt wie 2014. Jedenfalls gewinnt man diesen Eindruck, wenn man die ganzen Vorfälle im vergangenen Jahr betrachtet. Inzwischen gibt es sogar eine Website, die laufend die Frage „Is The Internet On Fire?" beantwortet [1]. Ganz vorne mit dabei: OpenSSL und SSL/TLS allgemein. Wir blicken zurück.
Zwar steht nicht das ganze Internet in Flammen, aber es kokelt doch an etlichen Ecken. Leider mal wieder an vorderster Front involviert: SSL/TLS. Dass das dafür verwendete Zertifizierungssystem eher einem brennenden Kartenhaus als der nötigen stabilen Festung gleicht, mussten wir ja schon 2011/2012 zur Kenntnis nehmen [2]. 2014 waren erneut die Protokolle selbst sowie ihre Implementierungen die Quelle des Übels. Los ging es mit OpenSSL und ganz viel Herzblut.
Der Heartbleed-Bug in OpenSSL
Am 7. April 2014 wurde von OpenSSL ein Security Advisory [3] zu einer neu behobenen Schwachstelle mit der CVE-ID CVE-2014-0160 [4] veröffentlicht, die folgendermaßen beschrieben wurde: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.
Eine parallel veröffentlichte Website [5] einiger Entdecker des Sicherheitsrisikos machte dann schnell deutlich, dass die Schwachstelle das Potenzial hat, zu einem großen Problem zu werden. Nebenbei bekam die Entdeckung im Gegensatz zu den meisten anderen sogar einen eigenen Namen: Heartbleed-Bug.
Der Heartbleed-Bug basiert auf einer fehlenden Bereichsprüfung in der Heartbeat-Funktion. Ein Angreifer kann darüber einen „buffer over-read auslösen. Als Antwort auf einen präparierten Heartbeat-Request sendet OpenSSL bis zu 64 KB Speicherinhalte an den Angreifer. Dieser Speicher kann unter anderen den privaten Schlüssel des Servers, Sessionschlüssel oder über TLS übertragene Zugangsdaten enthalten. Der Angriff kann ggf. wiederholt werden, um weitere Speicherbereiche auszulesen. Das ist schlimm, sehr schlimm. Oder wie Bruce Schneier es formuliert hat, eine Katastrophe [5]: „‘Catastrophic’ is the right word. On the scale of 1 to 10, this is an 11.
Wie funktioniert der Angriff?
Die „Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension [6] dient dazu, eine Verbindung aufrechtzuerhalten, obwohl keine Daten übertragen werden („keep-alive
). Heartbeat-Nachrichten bestehen aus zufälligen Daten und einem Feld mit der Payload-Länge. Der Kommunikationspartner muss auf einen Heartbeat-Request mit genau den gleichen Daten antworten.
Der Heartbleed-Bug besteht darin, dass die Payload-Länge nicht geprüft wird, bevor sie verwendet wird. OpenSSL reserviert entsprechend dem Wert im Längenfeld einen Puffer. Danach werden die Daten entsprechend diesem Wert aus der Eingabe in den Puffer kopiert. Gibt ein Angreifer eine größere Länge als Payload-Länge an, als die von ihm gesendete Payload tatsächlich umfasst, werden die hinter der Payload liegenden Speicherbereiche in den Puffer kopiert.
Wird zum Beispiel die Payload-Länge mit 64 KB angegeben (das ist der Maximalwert), obwohl nur 1 KB Payload gesendet wird, werden also 63 KB des vorhandenen Speichers in den Puffer kopiert – samt der zuvor darin enthaltenen und nicht überschriebenen, möglicherweise sensitiven, Daten. Nach dem Kopieren der Daten wird der gefüllte Puffer als Antwort auf den Heartbeat-Request an den Kommunikationspartner gesendet.
Der Angriff funktioniert sowohl gegen Server als auch gegen Clients, ist gegen Server aber deutlich einfacher, da der Angreifer von sich aus eine Verbindung zum Opfer aufnehmen kann. Beim Angriff auf einen Client muss der sich dafür mit einem bösartigen Server verbinden. Was im Zweifelsfall mit etwas Social Engineering oder