Neues eBook: "Websecurity - Jahresrückblick 2014"

Geschrieben von Carsten Eilers am Dienstag, 10. März 2015 um 10:44

"Websecurity - Jahresrückblick 2014" ist als eBook bei entwickler.press erschienen.

Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angriffe und Schwachstelle sowie allgemein die Frage, ob das Internet nun 2014 in Flammen stand oder nicht.

Kapitel 1: Angriffe auf OpenSSL und SSL/TLS

SSL/TLS waren mit Heartbleed (OpenSSL), Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der GOTO-FAIL-Schwachstelle (Mac OS X, iOS) und BERserk (NSS Library) 2014 ganz schön gebeutelt.

Das erfordert einige Maßnahmen: Die Schwachstellen müssen durch die Installation von Patches oder Updates beseitigt, im Fall von Heartbleed zusätzlich das Server-Zertifikat ersetzt werden. Wenn es keine Lösung durch einen Patch oder ein Update gibt wie beim Triple Handshake Angriff müssen die entsprechenden Schutzmaßnahmen ergriffen werden.

Das beseitigt die jeweils aktuellen Gefahren. Außerdem müssen SHA-1-Zertifikate ausgetauscht werden, da die nicht mehr wirklich sicher sind. Und als "Defense in Depth" sollte auf allen Servern Perfect Forward Secrecy [80] aktiviert werden. Das verhindert durch die Verwendung zufällig erzeugter Sitzungsschlüssel, dass ein Angreifer jetzt die verschlüsselte Session aufzeichnet und sie in der Zukunft mit Hilfe eines ausgespähten Zertifikats mit zugehörigem privaten Schlüssel entschlüsselt. Und falls ein Angreifer es irgend wie schafft, die Verschlüsselung einer aufgezeichneten Session zu brechen, hilft ihn das bei allen anderen aufgezeichneten Sessions nicht weiter, da dafür andere Sitzungsschlüssel verwendet wurden. Er muss also die Verschlüsselung jeder aufgezeichneten Session einzeln brechen und kann nicht einen einmal ermittelten Schlüssel mehrfach verwenden.

Werden alle diese Maßnahmen ergriffen, kann es im Internet ruhig weiter brennen, Ihre SSL/TLS-Verbindung ist sicher. Bis zum nächsten neuen Angriff.

Kapitel 2: Shellshock, BadUSB und Co.

In diesem Kapitel geht es um die restlichen die "prominenten" Schwachstellen und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast üblich wurde. Außerdem gab es so viele Schwachstellen und Angriffe, dass es teilweise schien, als stünde das Internet in Flammen. Tat es aber nicht. Zum Glück!

Zwar steht nicht das ganze Internet in Flammen, aber es kokelt doch an etlichen Ecken. Ob das 2014 wirklich schlimmer war als in den Vorjahren bezweifle ich. 2014 fielen die Schwachstellen und Angriffe nur mehr auf, da einige werbewirksame Namen bekamen. Für die meisten Medien ist ein Angriff namens "Shellshock" eben viel interessanter als einer mit einer CVE-ID wie CVE-2014-6271, obwohl beides die gleiche Schwachstelle bezeichnet. Also: Es brennt im Internet nicht wirklich mehr als sonst. Aber die Flammen sehen heller aus, weil sie von deutlich mehr Medien als früher gezeigt werden.

Auffällig ist höchstens, dass zwei der mit Namen versehenen Schwachstellen sehr alt waren: Der Heartbleed-Bug war seit der Implementierung der Heartbeat-Erweiterung am 1. Januar 2012 in OpenSSL 1.0.1 vorhanden, die Shellshock-Schwachstelle sogar seit der Implementierung des Funktionsim- und export in Bash 1.03 am 5. August 1989.

Ob 2014 schlimmer als die Vorjahre war ist letztendlich auch Geschmacksache. Für die Admins von Webservern sind Angriffe wie Heartbleed, Shellshock und Poodle natürlich ein großes Problem, für die war 2014 wahrscheinlich wirklich schlimmer als 2013. Dafür gab es 2013 ein Drittel mehr 0-Day-Exploits für Windows und Windows-Anwendungen als 2014, was die Admins dieser Rechner vor einige Herausforderungen stellte. Die dürften Sylvester 2014 also eher zufrieden auf das vergangene Jahr zurückgeblickt haben, da ihre Rechner 2014 weniger potentiellen Angriffen ausgesetzt waren als im Jahr zuvor.