Timing-Angriffe bedrohen viele Web-Anwendungen

Sicherheitslücken Auf der Hackerkonferenz "Black Hat" wollen die Security-Forscher Nate Lawson und Taylor Nelson zeigen, dass zahlreiche Web-Anwendungen anfällig gegen so genannte Timing-Angriffe sind. Diese Art von Attacken sind in der Kryptographie-Szene bereits seit vielen Jahren bekannt. So verfügen Smartcards beispielsweise in der Regel über entsprechende Schutzmechanismen. Allerdings ging man bisher davon aus, dass die Methode bei Web-Anwendungen keine großen Erfolgschancen birgt.

Dies sei aber eine falsche Annahme, so die beiden Sicherheitsexperten. Sie wollen auf der Konferenz demonstrieren, dass Angreifer mit Timing-Attacken über das Internet durchaus in der Lage sind, mit vergleichsweise geringem Aufwand Passwörter herauszufinden.

Die Methode ist eine Verbindung aus Brute-Force und einer sehr genauen Zeitmessung im Nanosekunden-Bereich. Authentifizierungs-Systeme benötigen eine bestimmte Zeit, um bei einem komplett falschen Passwort eine Fehlermeldung zu schicken. Man beobachtete aber, dass die Rückmeldung einen winzigen Moment länger dauert, wenn das erste Zeichen eines Passwortes korrekt ist.

Anhand der Reaktionszeit kann man so vergleichsweise schnell die richtige Reihenfolge der Zeichen herausfinden. Bei längeren Passwörtern steigt die Zahl der Möglichkeiten, die durchprobiert werden müssen, so nicht mehr exponential, sondern nur noch linear an.

Entwickler von Web-Anwendungen gingen bisher nicht davon aus, dass solche Angriffe über das Internet möglich sind. Immerhin beeinflussen hier zahlreiche Faktoren, wie schnell eine Antwort des Authentifizierungs-Systems eintrifft, so dass die sehr kurzen unterschiedlichen Reaktionszeiten im Grunde zu vernachlässigen sind.

Lawson und Nelson haben zuletzt allerdings verschiedene Praxistests im Internet, in lokalen Netzen und in Cloud-Umgebungen durchgeführt. Dabei habe sich gezeigt, dass zahlreiche System mit der Methode erfolgreich angegriffen werden können.
Diese Nachricht empfehlen
Kommentieren33
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Kaspersky Internet Security 2017 5 Geräte - [Online Code]
Kaspersky Internet Security 2017 5 Geräte - [Online Code]
Original Amazon-Preis
58,99
Im Preisvergleich ab
40,00
Blitzangebot-Preis
44,99
Ersparnis zu Amazon 24% oder 14

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden