Black Hat Europe 2017: Vertrauensprobleme und HTTPS-Fails

- 08. Dezember 2017

Session zu HSTS und HPKP auf der Black Hat Europe 2017.

Der zweite Tag der Black Hat Europe startete mit einer Keynote von Joanna Rutkowska, die mit Qubes OS auch ein sicheres Arbeiten in unsicheren Umgebungen erlauben möchte. Argentinische Forscher zeigten indes, wie sich HTTP Strict Transport Security (HSTS) und HTTP Public Key Pinning (HPKP) aushebeln lassen.

Wer ein Betriebssystem wie Qubes OS verwendet, bewegt sich in der Regel in einem unsicheren Umfeld oder pflegt zumindest ein gesundes bis übertriebenes Maß an Paranoia. Für Joanna Rutkowska ist das Alltag. In ihrer Keynote auf der Black Hat erzählte die Hackerin, dass sie sämtliche Mikrophone aus ihrem I-Phone entfernt hat und nur noch mit einem Bluetooth-Headset telefoniert. Der Grund: Sie will die potenzielle Abhör-Angriffsfläche verringern, indem sie Technologien zweier verschiedener Hersteller verwendet.

Das Beispiel unterstrich ihr in der Keynote vorgestelltes Konzept: Security through Distrusting. In einem Sicherheitssystem einer externen Komponente zu vertrauen (Trust), sei keine gute Idee, weil das letztlich die Sicherheitsbemühungen torpediere. Kein Code sei 100 Prozent vertrauenswürdig, keine Infrastruktur laufe fehlerfrei. Das Trust-System der Industrie skaliere nicht und sei naiv.

Was sie anstrebe, sei ein vertrauenswürdiges System (Trustworthy), das in einem nicht-vertrauenswürdigen Umfeld eine hinreichend sichere Umgebung biete. Dies wolle sie mit einer Aufteilung der Pflichten, mit Bereichsbildung und letztlich auch mit einem Plan B erreichen.

Joanna Rutkoska hielt die zweite Keynote auf der Black Hat Europe 2017.

Zum ersten Punkt gehört nicht nur das erwähnte Aufteilen ihrer Mikrophone-Hardware, hier plädierte Rutkowska unter anderem für Multi-Signaturen, wie sie einige Cryptocoin-Wallets bereits verwenden. Dabei lässt sich eine Komponente erst dann entschlüsseln, wenn drei Personen ihre jeweiligen Schlüssel in den Hut werfen.

Ihre Ideen für ein zustandsloses Laptop gehen in eine ähnliche Richtung: Hier lagern sämtliche Daten auf einer Komponente, alle anderen Komponenten des Laptops kehren jeweils in ihren Ursprungszustand zurück, ein permanenter Factory Reset also.

Die Bereichsbildung ist praktisch das, was Qubes OS bereits praktiziert: dedizierte VMs mit unterschiedlichen Sicherheitsanforderungen. Läuft dann trotzdem mal etwas schief, hilft ein Backup-Plan, der es sicher erlaubt, Qubes OS auf einem anderen Gerät zu verwenden, ohne die Maleware einzuschleppen.

Ungewolltes Downgrade

Im Zuge der Krack-Lücke lautete eins der Beruhigungsszenarien: Selbst wenn Angreifer die WLAN-Verschlüsselung aufbrechen kann, dient immer noch HTTPS als Schutz für die übertragenen Daten. Nicht unbedingt, wie sich auf der Black Hat zeigte. HTTP Strict Transport Security (HSTS) und HTTP Public Key Pinning (HPKP) sollten den Besuch von HTTPS-Seiten sicherer machen, lassen sich aber zumindest in Firefox und Edge überlisten.

Bislang gelang das über einen Angriff mit dem Namen Delorean, benannt nach der Zeitmaschine aus “Zurück in die Zukunft”. Tatsächlich arbeitet Delorean mit gefälschten Zeitstempeln via NTP, brachte aber auch noch einige Einschränkungen mit. So mussten Angreifer zum Beispiel einige Zeit im Netzwerk des Opfers verbringen.

Die neuen Angriffe gegen Firefox nutzen hingegen ein Implementierungsdetail auf, um den Storage einer Webseite mit HSTS/HPKP-Befehlen zu überschreiben. Schiebt ein Angreifer seinem Opfer dann als Man in the Middle oder Admin auf einem Server Javascript unter, kann er Passworteingaben mitlesen, selbst wenn die vom Opfer besuchte Webseite HTTPS verwendet.

Auch Microsofts Browser Edge wies einige Implementierungsprobleme in Sachen HSTS auf: Der Browser merkt sich lediglich über den Cache, ob der User beim letzten Besuch HTTP oder HTTPS verwendet hat. So aber sollte HSTS nicht funktionieren. Chromium brachten die Speaker zum Stillstand, indem sie eine Key-Datenbank des Browsers mit sehr vielen Einträgen überfluteten.

SCHLAGWORTE
HTTPS
Qubes
Security

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim classic in erster Version erschienen

Vim classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen