:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken der TLS-Sitzungswiederaufnahme TLS Session Resumption schafft Schlupflöcher
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Januar hat sie NSA eine Windows-Schwachstelle an Microsoft gemeldet, mit der ein Angreifer eine Malware so signieren kann, dass ein Benutzer keine Möglichkeit hat, die Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt. Jedes Windows-Gerät verlässt sich auf das Vertrauen, das durch TLS und Code Signing-Zertifikate, aufgebaut wird – zurecht?
Mit dem Patchday vom Januar 2020 hat Microsoft einen Patch für einen großen Kryptographie-Fehler veröffentlicht. Die fragliche Sicherheitslücke lag in einer Windows-Komponente namens crypt32.dll, einem Windows-Modul, das laut Microsoft „Zertifikats- und kryptografische Nachrichtenfunktionen in der CryptoAPI“ handhabt. Gemeldet wurde die Schwachstelle Microsoft übrigens vom US-amerikanischen Geheimdienst NSA!
Microsoft hatte darüber informiert, dass ein Angreifer die Sicherheitslücke ausnutzen könnte, indem er ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei verwendet, so dass der Eindruck entsteht, die Datei stamme aus einer vertrauenswürdigen, legitimen Quelle. Der Benutzer hätte keine Möglichkeit, die Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt. Angreifbar sind diese Verbindungen dann beispielsweise über eine Man-in-the-Middle-Attacke.
Jedes Windows-Gerät verlässt sich auf das Vertrauen, das durch TLS und Code Signing-Zertifikate (Maschinenidentitäten), aufgebaut wird. Wenn sie diese Identitäten brechen, können die Devices nicht mehr zwischen Malware und Microsoft-Software unterscheiden. Durch die weite Verbreitung ist letztlich jede Schwachstelle im Kernstück von Windows ernst zu nehmen. Zusätzlich zu den eigenen Zertifikaten sind in Windows Hunderte von Zertifizierungsstellen installiert. Leider ist vielen Organisationen die Anzahl der Zertifikate auf ihrem System völlig unbekannt, und Cyberangreifer nutzen dies aus. Die Schwachstellen sollten uns an das blinde Vertrauen erinnern, das wir in die Kryptographie und in Maschinenidentitäten haben. Sicherheitsteams brauchen Transparenz, Intelligenz und Automatisierung, um zu wissen, wo ihre Maschinenidentitäten sind und um sie ändern zu können.
Grundlagen I: Was ist TLS
Zunächst noch einmal zur Wiederholung ein paar Grundlagen von TLS Sessions. Das TLS-Protokoll erbringt allen Anwendungen, die über ihm angesiedelt sind, drei wesentliche Dienste: Verschlüsselung, Authentifizierung und Datenintegrität. Ein Server erstellt für jede TLS-Verbindung eine Sitzung. Zur Erstellung einer Sitzung müssen zusätzliche Daten ausgetauscht werden, zum Beispiel digitale Zertifikate und kryptographische Schlüssel; erst dann können die eigentlichen Webdaten ausgetauscht werden. Der Aufbau einer TLS-Sitzung wird als Handshake bezeichnet.
Grundlagen II: TLS-Handshake
Bevor der Client und der Server mit dem Austausch von Anwendungsdaten via TLS beginnen können, muss der verschlüsselte Tunnel ausgehandelt werden: Client und Server müssen sich über die Version des TLS-Protokolls einigen, das Verschlüsselungsprotokoll wählen und gegebenenfalls Zertifikate überprüfen. Leider macht jeder dieser Schritte neue Paket-Roundtrips zwischen dem Client und dem Server erforderlich, was die Latenz beim Aufbau von TLS-Verbindungen erhöht.
Eine neue TLS-Verbindung erfordert zwei Roundtrips für einen kompletten Handshake. In der Praxis können optimierte Implementierungen den Prozess allerdings beschleunigen, sodass nur noch ein Roundtrip nötig ist, um einen TLS-Handshake abzuschließen. Ein solches optimiertes Verfahren wird angewandt, wenn der Client zuvor bereits mit dem Server kommuniziert hat. In diesem Fall kann ein „verkürzter Handshake“ durchgeführt werden, der nur einen Roundtrip benötigt und dem Client und dem Server zudem ermöglicht, die CPU-Belastung zu verringern, indem die zuvor bereits ausgehandelten Parameter für die sichere Sitzung erneut verwendet werden. Diese Technik wird als TLS Session Resumption (TLS-Sitzungswiederaufnahme) bezeichnet.
TLS Session Resumption
Die zusätzliche Latenzzeit und die CPU-Kosten bei einem kompletten TLS-Handshake bedeuten eine ernsthafte Leistungseinbuße für alle Anwendungen, die eine sichere Kommunikation erfordern. TLS Session Resumption bietet einen Mechanismus, um die bereits ausgehandelten Secret-Key-Daten über mehrere Verbindungen hinweg wieder aufzunehmen oder zu teilen, wodurch sich die Kosten verringern. Die Sitzungswiederaufnahme ist ein wichtiges Verfahren zur Performance-Optimierung. Der verkürzte Handshake halbiert die Verschlüsselungslatenz um einen kompletten Roundtrip und reduziert die CPU-Kosten für beide Seiten erheblich. Die TLS Session Resumption kann entweder mit Sitzungskennungen oder mit Sitzungstickets implementiert werden; TLS 1.3 verwendet zum Beispiel Pre-Shared-Keys (PSK).
:quality(80)/images.vogel.de/vogelonline/bdb/1393800/1393872/original.jpg "Die Version 1.3 des TLS-Protokolls schneidet nicht nur alte Zöpfe ab und führt lange überfällige Neuerungen ein, sondern zeigt eine Menge an gesundem Menschenverstand. (vector_master - stock.adobe.com)")
Transportverschlüsselung Teil 1
TLS 1.3 - Viel heiße Luft oder ein großer Wurf?
Sitzungskennungen
Bei dieser Methode vergibt der Server beim ersten Handshake mit dem Browser (Client) eine zufällige Sitzungs-ID. Client und Server speichern diese Sitzungs-ID zusammen mit den Sitzungsschlüsseln und den Verbindungszuständen. Um eine Sitzung wiederherzustellen, sendet der Client die gespeicherte Sitzungs-ID mit der ersten Protokollnachricht (ClientHello) an den Server. Wenn der Server die Verbindung erkennt und zur Wiederaufnahme der Sitzung bereit ist, antwortet er mit der gleichen Sitzungs-ID, um die betreffende Sitzung wiederaufzubauen. So lässt sich eine sichere Verbindung schnell und ohne Sicherheitsdefizite fortsetzen, da die zuvor ausgehandelten Sitzungsdaten wiederverwendet werden.
Eine der Einschränkungen des Session-ID-Mechanismus in der Praxis ist allerdings, dass der Server dabei für jeden Client einen Sitzungscache anlegen und verwalten muss. Dies führt bei einem Server, über den täglich Zehntausende oder sogar Millionen einzelner Verbindungen laufen, zu mehreren Problemen: Jede offene TLS-Verbindung verbraucht Speicher; ein Session-ID-Cache und Eviction Policies werden benötigt; und es kann Schwierigkeiten bei der Bereitstellung populärer Websites mit vielen Servern geben, die idealerweise einen gemeinsamen TLS-Sitzungscache verwenden sollten, um die Leistung zu optimieren. Daher erfordern Sitzungskennungen in Multi-Server-Szenarien einige Überlegung und eine durchdachte Systemarchitektur, um einen gut funktionierenden Session-Cache zu gewährleisten.
Sitzungstickets
Um diesen Problemen bei der serverseitigen Zwischenspeicherung von TLS-Sitzungen zu begegnen, wurden als alternatives Verfahren Sitzungstickets (RFC 5077) eingeführt, bei denen der Server nicht für jeden Client den Sitzungsstatus speichern muss. Stattdessen kann er, wenn der Client angibt, dass er Sitzungstickets unterstützt, ein Sitzungsticket senden: einen Datensatz, der alle ausgehandelten Sitzungsdaten enthält und mit einem geheimen, nur dem Server bekannten Schlüssel verschlüsselt ist.
Dieses Sitzungsticket wird dann vom Client gespeichert und kann in die Handshake-Nachricht einer nachfolgenden Sitzung eingefügt werden. Alle Sitzungsdaten werden also nur auf dem Client gespeichert, doch das Ticket ist trotzdem sicher, da es mit einem Schlüssel verschlüsselt wird, den nur den Server kennt.
Der Mechanismus mit Sitzungstickets wird als zustandsloser Wiederaufnahme-Mechanismus bezeichnet. Die wichtigste Verbesserung ist dabei der Verzicht auf einen serverseitigen Sitzungscache, der das Verfahren vereinfacht. Stattdessen muss der Client bei jeder neuen Verbindungsaufnahme mit dem Server das Sitzungsticket präsentieren, so lange, bis es abgelaufen ist.
Pre-Shared Keys (PSK)
In TLS 1.3 werden die Sitzungskennungen und -tickets durch das Konzept der Sitzungswiederaufnahme über Pre-Shared Keys (PSK) ersetzt. Nach dem ersten Handshake sendet der Server eine PSK-Identität an den Client. Deren Inhalt hängt vom Server ab und kann einen Schlüssel zur Datenbanksuche oder ein selbst verschlüsseltes und selbst authentifiziertes Ticket umfassen. Der Client speichert diese PSK-Identität zusammen mit seinen eigenen Sitzungsschlüsseln.
Bei einem nachfolgenden Handshake präsentiert der Client in der ClientHello-Nachricht dem Server diese PSK-Identität. Abhängig vom Inhalt der PSK-Identität entschlüsselt der Server entweder das Ticket und verwendet die enthaltenen Sitzungsschlüssel und Verbindungszustände, um die Sitzung fortzusetzen, oder er verwendet den enthaltenen Nachschlagschlüssel, um die Sitzungsschlüssel und Verbindungszustände in seiner eigenen Datenbank zu finden.
:quality(80)/images.vogel.de/vogelonline/bdb/1395000/1395018/original.jpg "Mit der Androhung von Sanktionen für die fehlende Transportverschlüsselung sorgte Google vielerorts für hektische Betriebsamkeit im Zuge einer chaotischen Umstellung auf HTTPS. (bakhtiarzein - stock.adobe.com)")
Transportverschlüsselung Teil 2
Webmaster in der HTTPS-Pflicht
Probleme bei Datenschutz und IT-Sicherheit
Leider sind Sicherheit und Nützlichkeit in den meisten Fällen umgekehrt proportional. Am 18. Dezember 2018 veröffentlichten Sicherheitsforscher der Universität Hamburg ein Paper, das eine neue Methode beschreibt, mit der Websites den Browserverlauf von Nutzern verfolgen können. Die beschriebene Technik nutzt die im TLS-Protokoll implementierte Funktion zur Sitzungswiederaufnahme aus.
Eine Sitzung hat eine festgelegte maximale Dauer, die einige Minuten bis hin zu mehreren Stunden betragen kann. Wenn der Browser einen Server innerhalb eines Sitzungsfensters erneut besucht, kann die laufende TLS-Sitzung mit einer einzigen Wiederherstellungsanfrage fortgesetzt werden, statt dass erneut ein vollständiger Handshake ausgeführt werden muss.
Da eine TLS-Sitzungswiederaufnahme eindeutig an einen bestimmten Browser gebunden ist, kann sie dazu genutzt werden, Benutzer auf die gleiche Weise zu verfolgen wie mit Cookies. Auf einen Nenner gebracht: Die Website kann bei der Wiederaufnahme einer Sitzung durch einen Browser die Verbindung mit derjenigen Verbindung korrelieren, bei der die Sitzung ursprünglich erstellt wurde. Dies gilt auch dann, wenn der Benutzer aus einem anderen Netzwerk kommt (d. h. mit einer anderen IP-Adresse) oder andere Datenschutzeinstellungen verwendet (z. B. User-Agent).
Mit der oben beschriebenen Methode kann jeder einzelne Benutzer (maximal) mehrere Stunden lang verfolgt werden, ja nach Länge des ausgehandelten Sitzungsfensters. Eine Website kann jedoch die Sitzung bei jeder Sitzungswiederaufnahme um einen weiteren Zeitraum erneuern, das Sitzungsfenster zurücksetzen und die Lebensdauer der Sitzung somit quasi auf unbestimmte Zeit verlängern. Das Paper bezeichnet diese Technik als Verlängerungsangriff.
Gefahr Verlängerungsangriffe (prolongation attack)
Die Forscher zeigten, dass mit dieser Technik 65 Prozent der Benutzer in ihrem Datenbestand permanent verfolgt werden können, da diese Benutzer dazu neigen, die verfolgenden Websites öfter zu besuchen, als die Sitzungen ablaufen. Die Forscher kommen zu folgendem Schluss: Die Ergebnisse zeigen, dass es mit der standardmäßig eingestellten Lebensdauer der Sitzungswiederaufnahme in vielen aktuellen Browsern möglich ist, den durchschnittlichen Benutzer bis zu acht Tage lang zu verfolgen.
:quality(80)/images.vogel.de/vogelonline/bdb/1395100/1395145/original.jpg "TLS 1.3 verspricht mehr Sicherheit von verschlüsselten HTTPS-Verbiundungen. Leider ist die Implementierung voller Tücken und Überraschungen. (Fotomanufaktur JL| Сake78 (3D & photo)- stock.adobe.com (m))")
Transportverschlüsselung Teil 3
HTTPS mit TLS 1.3 in der Praxis
Fazit
Diese hypothetische Schwäche zu beheben wird nicht einfach sein. Die Browser-Anbieter könnten die Lebensdauer von Sitzungskennungen verringern oder sogar ganz auf sie verzichten, was aber die Performance beeinträchtigen könnte. Eine andere Lösung könnte darin bestehen, die Session Resumption nur für Erst-, nicht aber für Dritt-Domains zu erlauben. Dies würde jedoch unweigerlich als Anschlag auf den Datenverkehr und die Latenzzeit angesehen werden, da die meisten Websites zahlreiche HTTPS-TLS-Verbindungen zu Dritt-Domains herstellen.
TLS Session Resumption wird daher leider noch eine ganze Zeit lang ein Problem bleiben. Dass TLS-Verbindungen und Codesignaturen generell angreifbar sind hat nicht zuletzt die eingangs erwähnte, von der NSA gemeldete Schwachstelle in Windows gezeigt und sollte alle Unternehmen und Verantwortlichen daran erinnern, dass sie Transparenz, Intelligenz und Automatisierung benötigen, um zu wissen, wo sich ihre Maschinenidentitäten befinden, und um die Möglichkeit zu haben, sie schnell und unkompliziert zu ändern, wenn es nötig ist.
Über den Autor: Kevin Bocek ist VP Security Strategy & Threat Intelligence bei Venafi.
(ID:46360914)
:quality(80)/p7i.vogel.de/wcms/21/7e/217ed606225dd35aad2f242c58bfab38/0106313777.jpeg "802.1X ist ein IEEE-Standard zur Layer-2-Authentifizierung in lokalen Rechnernetzwerken. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/9a/80/9a80196ff0154157a8c7f25c3c1d2c6e/0108012087.jpeg "Die über Mutual TLS realisierten Maschinenidentitäten sind zwar praktisch für Unternehmen, doch es gibt auch einige Bedenken hinsichtlich der Sicherheit. (Bild: Gerd Altmann (geralt))")