Schlagwort Archiv: SSL

Warum SHA-1 unsicher ist

SHA-1 ist unsicher und sollte ersetzt werden

Der Hashingalgorithmus SHA-1 gilt als unsicher und sollte ersetzt werden. Doch warum eigentlich? Hier sieht man den Grund: Unterschiedliche Nachrichten generieren den selben Hash-Wert.

Schon seit längerem gilt der Hashing-Algorithmus SHA-1 als unsicher und sollte durch SHA-2 oder SHA-3 ersetzt werden. Was macht aber SHA-1 zu einem unsicheren Hash-Verfahren und wie hat man das herausgefunden?

Das Lustige an der Sache: SHA bedeutet secure hash algorithm, was in diesem Zuge doch recht ironisch ist.

Was Hash-Verfahren sind

Hash-Verfahren erzeugen aus einer Menge an Daten eine scheinbar willkürliche Folge an Bits. So wird durch SHA-1 beispielsweise aus dem Wort curi0sity die Zeichenfolge e544b48a746e297c9a10957ff0cf433cb41073d9. Ändert man nun ein Zeichen, also Curi0sity (großes statt kleines C am Anfang), so ändert sich der Hash-Wert komplett zu 5eed9a4940371dadad8119be0f9f32d94e52296c. Kleine Änderung, große Wirkung.

Genutzt werden Hash-Werte z.B. um zu überprüfen ob eine Datei richtig übertragen wurde. Der Sender stellt die Datei und den Hash bereit und der Empfänger bildet den Hash der empfangenen Datei. Sind die Werte identisch, so war die Übertragung mit sehr hoher Wahrscheinlichkeit erfolgreich. Sind die Werte nicht identisch, so war die Übertragung definitiv nicht erfolgreich.
Auch werden von Passwörtern erst die Hash-Werte bestimmt und diese dann übertragen oder gespeichert, sodass Hacker, die den Netzwerkverkehr mitschneiden, das Passwort nicht als Klartext haben. Sie haben somit nur den Hash-Wert, aus dem sich die originale Zeichenkette nicht wieder herstellen lässt (jeden Falls nicht mit einfachen mitteln und in kurzer Zeit).

Skizze einer Hash-Funktion

Skizze einer Hash-Funktion. Die Eingaben „John Smith“ und „Sam Doe“ erzeugen hier den selben Hash-Wert – dies bezeichnet man als Kollision.

Wann ist ein Hash-Algorithmus „gebrochen“?

(mehr …)

Smart Home oder doch eher Open Home?

Smart-Home mag eine praktische "Erfindung" sein, doch ist diese momentan noch unausgereift und unsicher.

Smart-Home mag eine praktische „Erfindung“ sein, doch ist diese momentan noch unausgereift und unsicher.

Der Begriff open wird ja von Software-Entwicklern gern gehört (s. open-source), doch im Bereich Smart-Home möchte man lieber nicht so viele Dinge offen haben. Weder Türen und Fenster sollen ungewollt offen sein, noch die digitalen Verbindungen zwischen den Geräten im smarten Haushalt.

Viele Firmen, wie etwa die Telekom, RWE, Danalock, Gira, Somfy, etc. versuchen die Software Ihrer Geräte so sicher wie möglich zu machen, doch klappt dies meistens nicht so gut und wirkt deswegen eher unausgereift.

Sinnhaftigkeit fraglich

In einem Test von golem.de wurde das Danalock (ein smartes Türschloss) genauer unter die Lupe genommen. Mit dem Danalock kann man z.B. schon aus dem Auto von der Einfahrt aus die Haustür per Smartphone öffnen. Die Verbindung läuft dabei über Bluetooth mit einem 128bit AES-Key, der nur einmal benutzt werden kann. Nach dem einmaligen Nutzen wird ein neuer generiert, dies steigert die Sicherheit.

11 Sekunden zum öffnen

(mehr …)

In eigener Sache: Anleitung für Backup rsync Server

Hackerangriffe auf Android können sehr gefähtlich sein.

Wer einen kleinen Heimserver für Backups einrichten möchte, braucht nicht viel.

Da ich in letzter Zeit meinen alten Server reaktiviert habe, wollte und habe ich mir einen kleinen SSH, FTP, NFS und rsync Server eingerichtet.

Die Anleitung hier ist eine einfach Beschreibung, wie man die einzelnen Programme installiert und konfiguriert. Dabei gehe ich nicht sehr ins Detail sondern zeige nur, dass es diese Tools gibt und wie man diese einrichtet.
Wer spezielle Funktionen nutzen möchte, muss die Suchmaschine seiner Wahl befragen.

Zur Anleitung

Hier geht es zur Anleitung.

Zu finden ist sie auch unter WissenswertesAnleitungen (noch mehr nützliche Dinge)FTP, NFS, SSH und rsync Server einrichten.

Windows Update: Wiedersehen mit Stuxnet und Freak

Windows Update: Ein Wiedersehen mit Stuxnet.

Eine Art Wiedersehen gibt es bei diesem Patchday mit dem Stuxnet-Wurm und Freak.

Am gestrigen Patchday (10.03.2015) gab es unter Anderem ein Windows Update, welches uns ein Wiedersehen mit der Stuxnet Lücke LNK bescherte.Die LNK-Lücke, welche über die Symbole in .lnk Dateien (Verknüpfungen) das ausführen von Code erlaubte, gibt es seit 2008 und sollte 2010 geschlossen werden. Die Zero-Day-Initiative von HP hat nun gezeigt, dass Microsoft da nicht ganz sauber gearbeitet hat, weswegen nun nachgebessert wird.

54 Windows Updates für 14 Lücken

Mit diesem Patchday werden von Microsoft insgesamt 54 Updates verteilt, die 14 Lücken im Internet Explorer, Office, VB, Adobe Treiber, Windows Kernel und dem SChannel. Ganze 5 Updates sind dabei sogar als critical eingestuft (unter anderem das für die LNK-Lücke), die restlichen 9 immerhin als important (darunter fällt auch das Freak-Update).

Offizieller Patch für Freak

Neben der LNK Lücke und diversen weiteren Patches (s.o.), wurde auch ein offizielles Windows Update zur Freak-Lücke veröffentlicht. Microsoft gehört zu den Entdeckern der Lücke und stuft sie auch als „wichtig“ (important) ein. Es gab zwar einen Workaround von Microsoft, jedoch führte er dazu, dass der Update-Dienst nicht mehr funktionierte. Ob dieses Update fehlerfrei ist bleibt ab zu warten.

Auch Apple hat jetzt ein Patch für die Freak-Lücke veröffentlicht.

Statement

(eigene Meinung)
Ich wollte erst „To be continued …“ schreiben, habe mich dann aber doch für ein Statement entschieden 😉

Wie man aus älteren Beiträgen sehen kann (hier und hier), kam es bei Windows Updates häufiger zu Fehlern und unerwünschten Effekten, daher denke ich, dass es dieses mal nicht anders sein wird. Ob man auf das installieren der Updates verzichten sollte ist fraglich, dennoch sind sie mit Vorsicht zu genießen. Im Zweifelsfall gilt wie immer:

Bei Risiken und Nebenwirkungen lesen die die Update Beschreibung und fragen Sie Ihren Sysadmin oder Softwarehersteller.

Freak bedroht nicht nur mobile Nutzer

Freak ist eine Schwachstelle in diversen Browsern und Servern.

Neben diversen mobilen Browsern, ist auch Windows mit seinem IE von der Schwachstelle Freak betroffen.

Freak (Factoring Attack on RSA-Export-Keys) ist eine Schwachstelle in diversen Browsern von Mobil- sowie Desktop-Geräten. Auf der Seite freakattack.com gibt es viele Informationen, die die Schwachstelle betreffen. Im folgenden versuche ich die Infos ein wenig zusammen zu fassen.

Hintergrund von Freak

Die Schwachstelle kann genutzt werden um zwischen einem verwundbaren Browser und Server eine absichtlich unsichere Verbindung zu erzwingen. Hierbei wird statt eines sicheren RSA-Keys (1024 oder 2048 Bits) einer mit nur 512 Bits verwendet. Dies ist an sich keine Sicherheitslücke, sondern eher ein altes Feature aus den 90ern, als die US-Regierung den Export von sicherer Software ins Ausland verboten hat. Auf dieser Art und Weise wollten sie der NSA unter die Arme greifen.

Liste aller Browser, die betroffen sind:

Quelle: freakattack.com

Internet Explorer (Hinweise und Infos von Microsoft)
Chrome (Mac OS) (Patch bereits verfügbar)
Chrome (Android)
Safari (Mac OS und iOS)
(Patch wird nächste Woche erwartet)
Android Browser
Blackberry Browser
Opera (Mac OS und Linux)

Alle hier nicht aufgeführten Browser (z.B. Firefox) sind nicht betroffen und somit sicher.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Eigenen Browser testen

freakattack.com bietet einen Test, der überprüft ob der eigene Browser sicher ist. Neben der Nachricht, ob der Browser sicher ist oder nicht, gibt es diverse Infos über den Browser, wie zum Beispiel die unterstützten Verschlüsselungsarten.

Wie kann man sich schützen?

Wenn beim Browser-Test (s.o.) angezeigt werden sollte, dass der eigene Browser nicht sicher ist, sollte ggf. auf einen anderen Browser umsteigen oder die Hinweise weiter unten berücksichtigt werden. In Firefox und Chrome kann man nach dem Unstieg gleich das Profil vom Internet Explorer (Lesezeichen, etc.) importieren.

Ansonsten gibt es leider wenig Tricks, wie man sich im allgemeinen schützen kann (für Windows gibt es unten mehr Infos). Man sollte aber die allgemeinen Vorgehensweisen berücksichtigen:

  • Halten sie den Browser aktuell und installieren sie alle Updates
  • Informieren sie sich über eventuelle Updates
  • Wechseln die ggf. zu Firefox oder einem Browser der sicher ist

Anfällige Webseiten kennen

Da das Problem nicht nur beim Browser, sondern auch bei ggf. anfälligen Webseiten liegt, gibt es eine Liste mit Webseiten die anfällig für eine Freak-Attacke sind. Darunter sind leider auch viele deutsche Seiten, die z.B. giga.de, markt.de, filmstarts.de, pcgameshardware.de und viele mehr.

Eine Liste mit den ersten 64296 beliebtesten Webseiten gibt es hier.

Freak-Attacke unter Windows verhindern

Update vom 10.03.2015: Die folgende Beschreibung sichert Sie gegen eine Freak-Attacke ab, jedoch können sie danach keine Windows Updates mehr installieren!

Da auch Windows (ab Vista) mit seinem Internet Explorer betroffen ist, hat Microsoft Tipps zum absichern vom IE veröffentlicht. Der Fehler in Windows liegt dabei im Schannel, mit dem es bereits mehrere Probleme gab.
Zum absichern von Windows muss man manuell die Verschlüsselungssammlungen von Windows bearbeiten. Mehr Infos und eine ausführliche Anleitung gibt es hier.