Alles auf SSL

Thematischer Schwerpunkt dieser Ausgabe ist die kontinuierliche Überwachung von Servern, Clients und anderen Geräten im Netzwerk: mit dem IPMI-Plugin, dem ... (mehr)

 

Liebe Leserinnen und Leser,

auf der Security-Konferenz Toorcon im Oktober stellte Eric Butler http://codebutler.com ein neues Tool namens Firesheep vor und machte sich damit bei vielen Website-Betreibern richtig unbeliebt. Es ist eine Firefox-Extension, die es möglich macht, auf Knopfdruck die Web-Sessions anderer Anwender zu übernehmen, indem das Tool den Traffic mitschneidet und die Authentisierungs-Cookies speichert.

Als Einsatzszenario waren insbesondere unverschlüsselte WLANs gedacht, wie man sie bei vielen kommerziellen Anbietern in Cafés und auf Flughäfen antrifft: Zwar findet die Bezahlung meistens verschlüsselt statt, danach fliegen die Datenpakete aber klar lesbar durch die Luft. Diese Tatsache machte sich Firesheep nicht als erstes Tool zu Nutze. Aufsätze, die das Problem des HTTP-Session-Hijacking beschreiben, gab es beispielsweise schon 2004, wie Butler selbst feststellt. Selten wurde es Anwendern aber so einfach gemacht wie mit Firesheep.

"Musste das wirklich sein", stöhnen die betroffenen Betreiber auf, aber Butler rechtfertigt sich damit, er habe nur möglichst deutlich auf das Problem hinweisen wollen. Und das ist ihm zweifellos gelungen. Der Firesheep-Programmierer gibt in seinem Blog eine Reihe von Hinweisen, wie das Problem an der Wurzel zu packen sei: Surfen über das Tor-Netzwerk, SSH- oder VPN-Tunnels und konsequenter Einsatz von SSL-Verschlüsselung auf sensiblen Websites.

Als vorbildlich hebt er Google Mail heraus, das schon seit längerem den kompletten Traffic über SSL verschlüsselt. Auch Microsofts Hotmail bietet mittlerweile SSL, aber nur als optionales Feature, das Anwender eigens aktivieren müssen. Das sei eher unwahrscheinlich, mein Butler, man müsse die User quasi zu ihrem Sicherheitsglück zwingen. Der Git-Hosting-Provider Github reagierte schnell, erst mit einem kurzfristigen Bugfix und dann ebenfalls mit SSL-Verschlüsselung. Manche Anwender ärgerten sich auch dann wieder, denn auf einmal mussten selbst Kommandozeilentools wie Wget mit Zertifikaten umgehen, was spätestens dann zum Problem wird, wenn selbstsignierte Zertifikate ins Spiel kommen.

Wer als Anbieter möglichst sichergehen will, sollte jedenfalls SSL einsetzen, wenn Authentifizierungsdaten im Spiel sind. Ein ebenfalls in Butlers Blog verlinktes Dokument der Google-Techniker mit dem Titel "Overclocking SSL" gibt Tipps zum praktischen Einsatz und macht mit dem Mythos Schluss, dass SSL jeden Server über alle Maßen belastet. Bleibt nur noch zu hoffen, das die OpenSSL-Bibliothek aufhört durch eigene Bugs Schlagzeilen zu machen.

Viel Spaß beim Lesen des Hefts wünscht

comments powered by Disqus
Mehr zum Thema

Continuous Integration mit Jenkins

Den neu geschriebenen Programmcode zu übersetzen und zu testen, ist eine Sache. Das Ganze dann aber auch noch in ein RPM-Paket zu gießen, um die Software sauber auf den Test-Systemen zu installieren, eine ganz andere. Jenkins hilft, diese Arbeit zu minimieren.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023