Nogotofail: Google-Sicherheitstool für Firmennetzwerke: HTTPS-Bugs schnell finden
Das Entwicklungsteam des Tools hat in einem Blogpost darauf hingewiesen, dass
die meisten Plattformen und Geräte zwar sichere Standardeinstellungen
einsetzen, aber einige Anwendungen und Bibliotheken diese
überschreiben. Ein Netzwerk kann aber nur dann als ausreichend sicher
bezeichnet werden, wenn dies auch auf alle im Netzwerk eingebundenen Geräte zutrifft. Deshalb sollten vor allem Unternehmen dafür sorgen, auch wirklich alle firmeninternen Devices zu testen.
Der Name Nogotofail (http://t3n.me/nogotofail) leitet sich von der goto-fail-Sicherheitslücke ab, die es ermöglichte, verschlüsselte Web-Verbindungen auf iOS- und OS-X-Geräten abzufangen und zu umgehen. Das neue Tool hat Google als Open-Source-Projekt auf GitHub zur Verfügung gestellt. In erster Linie eignet es sich dazu, im Unternehmen eingesetzte Geräte und Software dahingehend zu überprüfen, ob sie sicher vor TSL/SSL-Schwachstellen sind und ob fehlerhafte Konfigurationen ein Sicherheitsrisiko bergen.
Nogotofail überprüft beispielsweise, ob im Netzwerk Probleme mit SSL-Zertifikatsprüfungen, HTTPS und
TLS/SSL-Library-Bugs oder dem SSL- und STARTTLS-Stripping bestehen. Das Sicherheitstool lässt sich mit allen gängigen Desktop-Systemen wie OS X, Windows, Linux und Chrome OS als auch mit mobilen Plattformen wie Android oder iOS verwenden – so gut wie jedes Gerät, das sich mit dem Internet verbinden lässt, kann damit genau überprüft werden.
Der Client der Angriffs-Engine, der zur Konfiguration nötig ist und Test-Ergebnisse anzeigt, läuft allerdings nur auf Android oder Linux. Die Angriffs-Engine selbst lässt sich als Router, VPN-Server oder Proxy einsetzen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team