31.12.2011
Sicherheit
Massive Sicherheitslücken in Web-Applikationen
Autor: Thorsten Eggeling
Sicherheitsexperten haben auf dem 28. Chaos Communication Congress (28C3) auf die Gefahren von Schwachstellen in Skriptsprachen und Plattformen hingewiesen, die für Angriffe auf Web-Server missbraucht werden können.
Auf dem 28. Chaos Communication Congress (28C3) in Berlin haben Sicherheitsforscher auf gefährliche Sicherheitslücken in Skriptsprachen und Plattformen für Web-Applikationen aufmerksam gemacht. Betroffen sind beispielsweise PHP, ASP.NET, Java und Python. Laut Alexander Klink (PDF-Datei) von der Sicherheitsfirma n.runs werden dort zur komplexeren Datensuche Hashverfahren eingesetzt. Allerdings bergen diese Verfahren Schwachstellen, die Angreifer ausnutzen können.
Der bei Programmierern beliebte Einsatz von Hashtabellen hat die Eigenschaft, dass zwei unterschiedliche Schlüssel zu ein und demselben Hash-Wert führen können. Damit steigt das Risiko, dass gleichwertige Teilzeichenfolgen gefunden werden, die zu Kollisionen führen könnten. Darüber können dann massive Denial of Service-Attacken (DoS) ausgeführt werden. Außerdem ermöglichen sie kryptographische Angriffe. So könnte beispielsweise ein Meet in the Middle-Angriff auf Hashfunktionen ausgeübt werden.
Eine der beliebtesten Funktionen ist die von Daniel Bernstein entworfene Hashfunktion DJBX33A, die etwa in PHP5, Ruby, Java, Tomcat und Glasfish verwendet wird. Die Struktur dieser Hashfunktion macht sie anfällig für Angriffe über gleichwertigen Teilzeichenketten. Bei einer Post-Request-Größe von 8MB kann ein Angriff eine Intel Core-i7-CPU etwa vier Stunden lang beschäftigen. Für die Hashfunktion DJBX33X, die bei PHP4, ASP.NET, Python und JavaScript zum Einsatz kommt, gelten ähnliche Angriff-Szenartien.
Um sich vor derartigen Angriffen zu schützen, raten die Forscher dazu, zufällige Hashfunktionen zu benutzen. Perl verwendet dieses Verfahren schon seit 2003, nachdem es dahingehend bereits konkrete Sicherheitswarnungen gegeben hat.
Die Entwickler der anfälligen Programmiersprachen und Applikationsplattformen wurden bereits im November über die Schwachstellen informiert. Es gibt bereits Reaktionen. Die Mehrzahl der Projektbetreuer hat die Sicherheitslücken zumindest teilweise behoben. Auch Microsoft hat reagiert und bereits ein Update für das .Net-Framework veröffentlicht.
GigaTV Home Sound
Vodafone bringt eine TV-Box mit integrierten Lautsprechern
Bisher gab es bei Vodafone getrennte TV-Boxen für Kabel- und IPTV-Kunden. Die neue Generation von GigaTV bietet beide Zugänge, dazu kommt eine Version mit integrierten Lautsprechern.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
MagentaTV One
Die Telekom erneuert ihre TV-Box
Die Telekom bringt die zweite Generation ihrer Box für das Streaming: Die MagentaTV One bietet mehr Leistung und eine überarbeitete Fernbedienung.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>