Unser Team hat immer ein Auge auf die aktuelle Sicherheitslage im Internet. Wer wie wir die Nachrichten verfolgt hat, hat von zwei Vorfällen rund um Sicherheit gehört. Auf diese beiden Monster will ich etwas näher eingehen.

 

 

TL;DR: Die Server-Eye Cloud Systeme sind von der Sicherheitslücke bei Cloudflare und der Kollision bei SHA-1 nicht betroffen.

Cloudbleed.

Cloudflare ist einer größten Anbieter für CDN und Attack Mitigation, auch Server-Eye nutzt Cloudflare um Attacken auf unsere Clouddienste abzuwehren.

Tavis Ormandy (https://twitter.com/taviso) ist Forscher bei Google und sucht in deren Auftrag ständig nach neuen Sicherheitslücken um das Internet für alle sicherer zu Machen. Dabei hat er am 18. Februar 2017 einen gravierenden Vorfall in den Diensten von Cloudflare festgestellt. https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

Was genau ist passiert?

Damit eine Webseite schneller geladen werden kann, müssen die Daten physikalisch nahe beim Benutzer liegen. Einfach ausgedrückt, wenn ich eine Webseite lade die in Frankfurt liegt, dann ist das schneller als wenn ich eine Webseite lade die in Los Angeles auf einem Server liegt.

Cloudflare hilft in diesem Fall in dem es die Seite die eigentlich aus Los Angeles kommt als Kopie auch auf einem Server in Frankfurt gespeichert hat. Für mich als User lädt die Seite jetzt viel schneller und ich habe auch nichts davon gemerkt, dass meine Seite nicht vom Server in Los Angeles kam, sondern von einem Server in Frankfurt. Dieses Verfahren fasst man im Allgemeinen unter dem Begriff CDN (Content Delivery Network) zusammen. Ein solches Network besteht aus vielen tausenden sogenannten Edge-Servern die über die ganze Welt verteilt sind. Als User erhalte ich die Daten immer vom Server der mir am nächsten ist.

Die Kosten solche Edge-Server für jeden Anbieter einer Webseite selbst zu betreiben sind viel zu hoch. Es gibt deshalb spezielle Anbieter die genau diese CDNs aufbauen und zur Verfügung stellen. Wenn ich z.B. einen Patch von Microsoft lade oder bei Otto im Online Katalog stöbere, dann geht das durch die Server des Anbieters Akamai.

Diese Edge-Server speichern also die Daten von vielen verschiedenen Webseiten gleichzeitig. Durch einen Fehler beim Anbieter Cloudflare kam es jetzt dazu, dass bei einer Abfrage von Webseite A auch Daten von Webseite B ausgeliefert wurden. Allerdings sind laut Cloudflare nur in 0,00003% aller Anfragen betroffen.

In diesen Daten waren auch private Informationen enthalten, wie Kreditkartendaten oder Chats von Datingwebseiten. Es gab allerdings keine Möglichkeit gezielt an Daten zu kommen. Die gelieferte Information war von einer zufälligen anderen Webseite auf dem gleichen System.

Was bedeutet das für Server-Eye?

Es waren nur Systeme betroffen die eine von drei speziellen Funktionen von Cloudflare nutzen. Die Server-Eye Systeme nutzen keine dieser Funktionen. Die Server-Eye Cloud war deshalb nicht von dieser Sicherheitslücke betroffen.

Server-Eye nutzt auch keine Funktion von Cloudflare bei denen Nutzerdaten durch Edge-Server von Cloudflare laufen. Es besteht auch kein Plan eine solche Funktion in der Zukunft zu nutzen.

In der Vergangenheit wurde die öffentliche Seite www.server-eye.de durch das CDN von Cloudflare geladen. Seit Anfang 2016 nutzen wir allerdings kein CDN mehr für die Auslieferung der Webseite.

Um alle Unklarheiten auszuräumen: Es wurden niemals Nutzer Daten der Server-Eye Installationen durch die CDN Dienste von Cloudflare oder anderen Anbietern geleitet. Sollte es aus technischen Gründen doch einmal notwendig werden auf einen CDN Dienst zuzugreifen werden wir alle Partner gesondert informieren.

Die Lücke bei Cloudflare bestand vom 22. September 2016 bis zum 18. Februar 2017. Nach Bekanntwerden der Lücke hat Cloudflare innerhalb von 47 Minuten die ersten Gegenmaßnahmen eingeleitet und innerhalb von 7 Stunden alle Lücken geschlossen. Diese Reaktionszeit ist vorbildlich und wir sehen deshalb auch keinen Grund den Anbieter zu wechseln.

Weitere Informationen gibt es bei Cloudflare: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ und bei Google: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

SHA-1

Jetzt zu einem ganz anderen Monster.

Am 24. Februar 2015 habe ich in einem Blogpost die Abkürzungen rund um https erklärt. In diesem Post habe ich auch angekündigt, dass wir das SHA-1 Verfahren nicht mehr verwenden wollen. Durch den hohen Anteil an Windows 2003 und XP Systemen bei unseren Kunden hat sich die Umstellung aber bis zum 1. August 2016 hingezogen. Ab diesem Zeitpunkt war keine Kommunikation mehr über SHA-1 mit uns möglich.

Natürlich haben wir aktuelle Sicherheitsnews damals wie heute aktiv verfolgt um bei einem Angriff auf das SHA-1 Verfahren sofort zu reagieren. Zum Glück war das bei SHA-1 nicht notwendig. Der „Durchbruch“ beim Knacken des Verfahrens ist Google erst jetzt gelungen.

Ein Forschungsteam bei Google konnte eine sogenannte Kollision erzeugen. Die Forscher konnten ein Dokument erstellen das bei unterschiedlichem Inhalte den gleichen SHA-1 Hashwert liefert wie ein anderes Dokument.

Was bedeutet das?

Stellen wir uns einen Mietvertrag vor in dem wir zustimmen 100 Euro Miete zu bezahlen. Dieser Vertrag wurde uns als PDF zugesendet und wir haben den Vertrag digital unterzeichnet. Die digitale Unterschrift basiert auf dem Hashwert der PDF Datei. Als Hashverfahren wurde SHA-1 eingesetzt.

Der Vermieter tauscht jetzt den PDF Vertrag gegen einen anderen Vertrag aus in dem 1000 Euro als Miete definiert sind. Mit Hilfe der durch Google gefunden Möglichkeit eine Kollision auszulösen hat der Vertrag den gleichen Hashwert. Unsere digitale Unterschrift ist also auch für diesen Vertrag gültig. Damit könnte der Vermieter jetzt die 1000 Euro von uns einklagen. Er hat ja unsere Zustimmung zu diesem Betrag.

Natürlich ist dies nur ein konstruiertes Beispiel. Aber es zeigt die Problematik, auf SHA-1 basierende Signaturen sind nicht mehr sicher. Alle Systeme die dieses Verfahren noch nutzen müssen sofort umgestellt werden.

Zum Glück wussten wir alle, dass dieser Tag kommt und konnten SHA-1 schon frühzeitig verbannen. (Sollten Sie selbst oder einer Ihrer Kunden noch SHA-1 einsetzen dann ist jetzt ein Handeln erforderlich!)

Es ist aktuell auch nicht davon auszugehen, dass es in der nächsten Zeit zu vielen dieser Kollisionsberechnungen kommen wird. Google hat für die Berechnung der aktuellen Kollision 6500 CPU Jahre oder 110 Jahre GPU Rechenzeit benötigt. Um diese Berechnung innerhalb eines Tages in der Amazon Cloud durchzuführen würden Kosten von 2.665.424 € entstehen. Wenn ich auf das Ergebnis einen Monat warten kann sind es immer noch 88.847 €.

Weitere Informationen dazu gibt es hier: https://shattered.it/

Andere Monster

Das werden nicht die beiden letzten Monster sein gegen die wir kämpfen müssen. Aber die beiden letzten Schlachten haben uns gezeigt, dass wir gut gerüstet sind. Unser Anbieter Cloudflare hat sehr schnell und kompetent auf den Vorfall reagiert.

Und intern haben wir auch die Gefahr durch SHA-1 rechtzeitig erkannt und reagiert.

 

Wir bleiben weiterhin wachsam.