Sicherheitswoche 42: SHA-1-Kollisionen, echter Router-Hack, Android/Sicherheit/Trübsinn

In dieser Folge unseres Wochenrückblicks geht es um die Resultate großer Fehler der Technologie-Giganten.

Wenn man sich im Auge eines Sturms befindet, versteht man vielleicht gar nicht, was gerade passiert. Und wenn man mitten in einem Stau steht, weiß man vielleicht gar nicht, dass ein Unfall die Ursache des Staus ist, bevor man an die Unfallstelle kommt und zwei Jet-Piloten sieht, deren Flugzeugwracks drei Fahrspuren blockieren. Bis dahin haben Sie nicht genug Informationen, um eine genaue Aussage treffen zu können.

In der IT-Sicherheit passiert das die ganze Zeit: Es ist ein komplexes Thema mit vielen Details und Besonderheiten, und deshalb haben die Ergebnisse bestimmter Forschungsarbeiten manchmal starke Auswirkungen auf die Zukunft.

Die drei wichtigsten Themen der vergangenen Woche haben nichts miteinander zu tun, abgesehen von ihrem unterschwelligen Kontext. Wenn man keine Branchenerfahrung hat, kann man die Wichtigkeit mancher Sicherheitsvorfälle nicht richtig bewerten oder übersieht manches wichtige Detail.

Ich werde versuchen, dies mit den folgenden Beispielen zu erklären, allerdings ist der unterschwellige Kontext vage und flexibel auslegbar, so dass ihn jeder unterschiedlich interpretiert. Kommen wir also zum aktuellen Wochenrückblick. Wie immer wählte das Threatpost-Team drei wichtige Neuigkeiten aus, die ich hier ganz rücksichtslos kommentiere. Die älteren Episoden finden Sie hier.

Die Suche nach der SHA-1-Kollision wird günstiger

Der Artikel. Die Vorhersage von Jesse Walker von vor drei Jahren. Die neue Forschungsarbeit, die die Sicht auf die Sicherheit dieses Algorithmus änderte.

Jeder, der Linux ein bisschen besser erforschtt und nicht nur Ubuntu installiert, weiß, dass das System dazu auffordert, die Anleitung genau zu lesen. Ich meine, ich würde natürlich zunächst ein Dokument googeln, das eine Reihe von Kommandos enthält, aber in manchen Fällen würde das Ganze nicht funktionieren und komplett zusammenbrechen.

Dieser Fall hier ist ähnlich: Ohne zumindest eine kurze Orientierung, ist das Thema nicht so leicht zu verstehen. Aber auch wenn es das bisher komplexeste Thema in unserem regelmäßigen Wochenrückblick ist, möchte ich versuchen, es in einfachen Worten zu erklären.

Nun, probieren wir einmal so etwas

Nun, probieren wir einmal so etwas

SHA-1 ist ein kryptografischer Hashing-Algorithmus. Dieser Algorithmus kann eine unlimitierte Sequenz verarbeiten und ein 160 Bit großes Datenstück produzieren, das dann dazu verwendet werden kann, die ursprünglichen Daten zu verifizieren. Das ist unmöglich, wenn man nicht die ursprünglichen Daten besitzt – denn nur damit kann man die Informationen des Hash-Werts wieder herstellen.

Genauer gesagt, SOLLTE das auch unmöglich sein, selbst wenn man ein schlechtes Passwort wie „123456“ nutzt. Für so einen Algorithmus gibt es zwei Bedingungen: es ist unmöglich, die Originaldaten wieder herzustellen, wenn man nur den Hash-Wert hat, und es ist unmöglich, eine Übereinstimmung mit den Originaldaten zu haben, so dass beide den gleichen Hash-Wert besitzen.

Es GIBT aber eine Möglichkeit für diese beiden Dinge. Aber dazu braucht man so viel Computerpower, dass es den Versuch nicht lohnt. Wenn man das mit einem Supercomputer machen würde, bekäme man 240 Jahre später die Antwort (zum Beispiel „42“), aber dann wäre das auch schon egal.

Aber die Sache hat noch einen Haken: Zum einen werden PCs immer schneller, zum anderen suchen Forscher laufend nach Wegen, um kryptografische Algorithmen zu knacken. Es ist viel einfacher, eine Kollision bei einem Verschlüsselungsalgorithmus zu finden, als die ursprünglichen Daten zu entschlüsseln.

In der Zwischenzeit wird SHA-1 in verschiedenen Verschlüsselungssystemen und Autorisierungslösungen verwendet, um sicherzustelen, dass die Daten von zwei Seiten zueinander passen.  Sobald in einem weniger mühseligen und teuren Prozess zwei oder mehr Datenreihen mit dem gleichen Hash-Wert entdeckt werden, ist der Algorithmus nicht mehr zuverlässig.

An dieser Stelle möchte ich Ihnen die unerträgliche Algebra-Stunde ersparen und direkt zum Punkt kommen: Forscher kompilieren einen Algorithmus zur Suche so einer Kollision und dieser Algorithmus schafft es, diese einfacher zu finden, als eine Brute-Force-Attacke. Wir sprechen hier über einen so genannten Geburtstagsangriff.

Nun, diese einfache Erklärung war nun doch nicht so einfach, wie ich dachte.

Die Forscher verbessern den Algortithmus dann und reduzieren damit die Zahl der Entschlüsselungsoperationen. Dadurch kann die Attacke, die vorher 240 Jahre gedauert hätte, schon in nur 120 Jahren zum Erfolg führen, später in 12 Jahren, und später in nur noch zwei Jahren. Wenn der Angriff dann nicht mehr zwei Jahrhunderte dauert, sondern nur noch zwei Monate, müssen wir uns Sorgen machen.

Und hier kommen wir zum aktuellen Fall: Vor drei Jahren schätzte der Intel-Kryptograph Jesse Walker, dass ein Kollisionsangriff auf SHA-1 im Jahr 2015 211 Server-Jahre dauern würde (eine seltsame Einheit, die auf einem typischen Server basiert).

Dank Cloud-Diensten wie Amazon EC2 kann man sogar die Geldsumme kalkulieren, die in die Infrastruktur gesteckt werden muss, die für das Knacken des Hash-Werts benötigt wird. Mit 700.000 Dollar kann man theoretisch in recht kurzer Zeit eine digitale Signatur fälschen.

Doch diese Schätzung stammt aus dem Jahr 2013. Das bedeutet, dass SHA-1 sogar damals schon als nicht besonders zuverlässig eingeschätzt wurde, allerdings konnten sich nur reiche staatliche Stellen leisten, den Algorithmus zu knacken.

Und verständlicherweise haben es solche Organisationen nicht eilig, ihre Erfolge bei ihrem Kampf gegen Verschlüselungen öffentlich zu machen. Aber es ist enorm wichtig, einschätzen zu können, wann dieses „Werkzeug“ auch für wohlhabene Cyberkriminelle zur Verfügung stehen wird.

Kürzlich veröffentlichte eine Gruppe von Forschern aus den Niederlanden, Singapur und Frankreich ein White Paper zu den Optimierungsmethoden, die benötigt werden, um die Kollision zu berechnen. Wenn ein Angreifer die Ergebnisse der Forscher in den Händen halten würde, würde ein Angriff nur 75.000 Dollar (nach der Amazon-Berechnung) kosten und nur 49 Tage dauern.

Es könnte sogar noch schneller gehen, vorausgesetzt es ist genug Geld vorhanden. Der renommierte Kryptograph Bruce Schneier geht davon aus, dass die Schätzung aus dem Jahr 2012 nur das Mooresche Gesetz in Betracht gezogen hatte, allerdings nicht die Fortschritte bei Angriffsalgorithmen (etwa der Nutzung von GPUs für die Berechnung). Es ist unmöglich, eine genaue Schätzung dazu zu machen, was die Algorithmusoptimierung bringen könnte.

Hier kommt die traditionelle Frage: Ist das eine echte Bedrohung? Nicht unbedingt. Aber wie werden solche „Sicherheitslücken“ ausgenutzt? Es gibt ein schönes Beispiel basierend auf dem weniger sicheren MD5-Algorithmus: Man nimmt zwei verschiedene Dateien (im Beispielsfall zwei Fotos von Rockstars), modifiziert eines davon und bekommt dadurch zwei absolut identische Hash-Werte für zwei total unterschiedliche Fotos.

Gibt es Beispiele aus der echten Welt? Ja, gibt es: Die berüchtigte Hacker-Attacke Flame nutzte diese Methode, um eine schädliche Datei mit einem (damals) gültigen Microsoft-Zertifikat zu signieren. Diese Signatur wurde eigentlich nur gefälscht, doch die Hash-Werte stimmten überein. Unabhängige Schätzungen zeigen, dass so ein Trick, der sogar unzuverlässigere Algorithmen missbraucht, die Täter etwa 200.000 bis 2.000.000 Dollar gekostet haben müsste – verdammt teuer!

Was ist also mit SHA-1? Den Algorithmus gibt es seit 1995 und schon im Jahr 2005 war klar, dass er nicht zu den zuverlässigsten gehört. Wenn man von den aktuellen Schätzungen ausgeht, sind praktikable SHA-1-Kollisions-Exploits noch ein Ding der Zukunft, und gleichzeitig wird SHA-1 bereits stetig durch zuverlässigere Hash-Algorithmen ersetzt.

Bis zum Jahr 2017 werden die großen Browser-Entwickler SHA-1 nicht mehr verwenden. Es ist aber auch an der Zeit, dass sie sich beeilen, denn wenn die potenziellen Kosten so eines Angriffs in nur drei Jahren von 2.770.000 Dollar auf 100.000 Dollar gesunken sind, was kann dann im nächsten Jahr passieren?

In der Zwischenzeit ist die Erforschung von SHA-1-Sicherheitslücken eine rein wissenschaftliche Angelegenheit. Sich die potenziellen Konsequenzen klar zu machen, ist so vage, wie nur aufgrund der Aussage „Am 12. April 1961 wurden in der Wüste von Kasachstan 250 Tonnen Raketentreibstoff verbrannt“ herauszufinden, dass ein Mensch in den Weltraum geflogen ist. Abwarten und Tee trinken.

Sicherheitslücke in Netgear-Routern ist ausnutzbar

Der Artikel. Die Beschreibung der Sicherheitslücke.

In den Routern Netgear N300 wurde eine Sicherheitslücke gefunden. Da haben wir also wieder einmal ein Loch in einem Router – anders, aber dennoch irgendwie das Gleiche. Wir haben bereits einige Fehler in Belkin-Routern besprochen. Aber bei Netgear sieht das Ganze recht düster aus.

Wenn man das Web-Interface des Routers öffnet und das Passwort eingibt (ein falsches, da es nicht unser Router ist und wir das Passwort nicht kennen), kommt man auf die Zugriff-verweigert-Seite. Wenn man nun versucht, die Seite BRS_netgear_success.html zu öffnen… bringt das gar nichts, zumindest nicht bei den ersten paar Versuchen. Macht man das mehrere Male, hat man damit Erfolg.

Natürlich sollte man dafür in das lokale Netzwerk eingeloggt sein, was die ganze Sache erschwert. Wenn der Router allerdings ein öffentliches WLAN in einem Café betreibt, ist es kein Problem, in das Netzwerk zu gelangen. Und wenn der Besitzer aus irgendeinem Grund beschlossen hat, den Zugriff auf das Web-Interface zu öffnen, wird das Ganze noch viel einfacher.

Weiß übrigens jemand, warum der Web-Zugriff überhaupt für Außenstehende geöffnet sein sollte? Und damit meinen wir den Zugriff auf den Router selbst, nicht auf irgendwelche Instanzen im lokalen Netzwerk. Ich denke, es gibt absolut keinen Grund, das zu machen, dafür gibt es viele Gründe, es NICHT zu machen.

Die Situation mit den Belkin-Routern entwickelte sich ganz gesetzestreu: Der Hersteller wurde darüber benachrichtigt und innerhalb von zwei Monaten bot das Unternehmen eine Betaversion der neuen Firmware an. Es sah so aus, als wäre alles gut, doch dann kam die schlechte Nachricht: Die Sicherheitslücke wurde bereits ausgenutzt.

Die schweizerische Sicherheitsfirma Compass Security entdeckte nun einen gefälschten Router mit veränderten Einstellungen: Der DNS-Server gehörte nicht wie üblich zu einem Provider, sondern zu wem auch immer. Dieser unbekannte Agent erhielt alle DNS-Anfragen. Bei der Untersuchung stellte sich heraus, dass der Angriffs-Server über 10.000 gehackte Router bediente.

Übrigens versuchte Compass Security mehrmals, eine Antwort von Netgear zu bekommen. Als die Konversation endlich begann, stellte die Firma sogar schon eine Betaversion der neuen Firmware für einen Test zur Verfügung. Doch dann tauchte plötzlich ein neuer Mitspieler auf: Eine Firma namens Shellshock Labs veröffentlichte ihre eigene Forschungsarbeit, ohne vorher mit irgendjemandem zu sprechen (was schlecht ist).

Natürlich ist es cool, eine Forschungsfirma nach einem berüchtigten Fehler in Bash zu benennen, aber das setzt die Regel „keine Schäden zuzufügen“ nicht außer Kraft. Davon abgesehen halfen die „Shellshocker“ aber dabei, zu verstehen, woher der Fehler kommt. Der Firmware-Code macht es einmal beim ersten Start ohne Passwort möglich, Zugriff auf das Webinterface zu bekommen. Um das auszuschalten, sollte eine Markierung vorhanden sein, war sie aber nicht. Und ja, die Firmware wurde schließlich aktualisiert.

87 Prozent der Android-Geräte sind unsicher

Der Artikel. Die Webseite zur Forschungsarbeit, inklusive der Sicherheitsbewertung der Geräte, nach Hersteller sortiert.

Kaum zu glauben! Das ist noch nie passiert und jetzt geht es schon wieder los! Wir sprechen über eine weitere wissenschaftliche Forschungsarbeit (zum Glück nicht so kompliziert wie die zu SHA-1). Forscher der University of Cambridge haben etwas Faszinierendes getan: Sie haben Daten zu 32 kritischen Android-Sicherheitslücken ausgewählt, davon die 13 schlimmsten genommen und eine riesige Menge Geräte verschiedener Hersteller auf deren Angreifbarkeit geprüft.

Die Forscher entwickelten eine Geräteanalyse-App, um telemetrische Daten auf den ausgewählten Geräten zu sammeln, inklusive der Betriebssystemversion und der Gerätenummer. Damit bekamen die Forscher Daten zu über 20.000 Smartphones.

Durch Vergleich der Betriebssystemversionen mit den Daten zu Sicherheitslücken konnten die Forscher das Ausmaß des Problems einschätzen. Und das sieht so aus:

Die Ergebnisse wurden normalisiert und zeigen, dass 87 Prozent der Geräte über die ein oder andere kritische Sicherheitslücke angreifbar sind (in manchen Fällen sogar mehr als nur eine). Man muss noch das Wort „potenziell“ hinzufügen: Wie man an der Stagefright-Geschichte sehen konnte, kann nicht einmal die gefährlichste Sicherheitslücke aufgrund von praktischen Beschränkungen voll ausgenutzt werden.

Die Forscher haben zudem sogar eine Wertung erstellt, mit der das Maß an „Gefährlichkeit“ bei verschiedenen Herstellern eingeschätzt werden kann – diesen Wert nannten sie FUM-Wert. Dieser basiert auf der Zeit, die ein Hersteller braucht, um nach der Bekanntmachung eines neuen Fehlers einen finalen Patch auszuliefern.

Und die Gewinner sind hier natürlich Nexus-Geräte: Sie bekommen neue Patches schneller als alle anderen. LG und Motorla liegen auf dem zweiten beziehungsweise dritten Platz dieser Wertung. Allerdings kann man sie alle kaum als Gewinner bezeichnen, da im Grunde alle Teilnehmer Verlierer sind.

Die Wertung zieht den Anteil der aktualisierten Geräte in Betracht, denn auch wenn ein Hersteller einen Patch veröffentlicht, müssen die Anwender dennoch ihr Gerät selbst aktualisieren. Je älter das Gerät, desto schlimmer: In einer separaten Wertung mit zwei bis drei Jahre alten Geräten waren die Werte beängstigend. Warum ist das so? Die Besitzer aktualisieren sie nie, benutzen sie aber noch.

Die Forschungsarbeit enthält aber auch einige diskutierbare Annahmen sowie viel Spekulation, und das Ergebnis war eigentlich zu erwarten. Die Forscher sagen dazu, dass eines ihrer Ziele war, die Hersteller dazu zu motivieren, die Auslieferung der Patches zu verbessern. Wichtig ist aber, zu verstehen, dass dieses Ökosystem nicht zu 100 Prozent sicher sein kann.

Android, das furchtbar segmentiert ist, ist das beste Beispiel für ein unsicheres Ökosystem. Man kann natürlich sagen, dass iOS sicherer ist, aber die erste Meldung unseres Rückblicks zeigt, dass kein System, aus Budgetgründen, hunderprozentig sicher ist. Das ist ein wichtiger Punkt bei der Auswahl einer Sicherheitsstrategie.

Was sonst noch passiert ist:

Apple säuberte den App Store von Apps, die Hackern halfen, verschlüsselten Datenverkehr durch die Installation von Root-Zertifikaten abzufangen und zu modifizieren – zur Blockierung von Adware oder Schlimmerem. Und wie ich es verstehe, wird es Apps mit solchen Fähigkeiten auch nicht mehr geben. Warum war es für die gesäuberten Apps dann möglich?

Die European Aviation Security Agency (EASA) hat Informationen zu einem Fehler in ACARS  veröffentlicht – das System wird für die Kommunikation zwischen Flugzeug und Bodenstation verwendet. Es ist recht einfach, gefälschte Nachrichten über das System zu versenden, das keine Paketverifizierung voraussetzt.

Natürlich erlaubt diese Sicherheitslücke nicht das Übernehmen der Flugkontrollen, kann aber verwendet werden, um irreführende Nachrichten an die Piloten zu schicken. Der Fehler in ACARS wurde bereits im Jahr 2013 (in verschiedenen PDF-Dateien) besprochen, aber ausschließlich von Sicherheitsforschern; diesmal ist es eine Aufsichtsbehörde, die das Problem anspricht. Das ist eine gute Nachricht!

Oldies:

Indicator-734

Ein gefährlicher, residenter Virus. Er infiziert .COM-Dateien, wenn diese in den Speicher geladen werden. Der Virus verschlüsselt den Anfang der Dateien und nutzt dafür 10h Byte des BIOS. Das bedeutet, dass die Dateien nur auf einem Computer mit dem gleichen BIOS entschlüsselt und gestartet werden können. Wenn der Anfang der Datei nicht entschlüsselt werden kann, blockiert der Virus die Operationen der Datei (int 20h), da er seinen Zähler vorher gestartet hat. Je nach Zählerstand (ungefähr einmal pro Stunde), malt der Virus ein rotes Kreuz auf den Bildschirm mit dem Logo „Vindicator“ in dessen Mitte. Der Virus übernimmt int 1Ch, 21h.

Zitat aus „MS-DOS-Computerviren“ von Eugene Kaspersky, 1992, Seite 70.

Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.

Tipps