Nogotofail: Google-Sicherheitstool für Firmennetzwerke: HTTPS-Bugs schnell finden
Das Entwicklungsteam des Tools hat in einem Blogpost darauf hingewiesen, dass
die meisten Plattformen und Geräte zwar sichere Standardeinstellungen
einsetzen, aber einige Anwendungen und Bibliotheken diese
überschreiben. Ein Netzwerk kann aber nur dann als ausreichend sicher
bezeichnet werden, wenn dies auch auf alle im Netzwerk eingebundenen Geräte zutrifft. Deshalb sollten vor allem Unternehmen dafür sorgen, auch wirklich alle firmeninternen Devices zu testen.
Der Name Nogotofail (http://t3n.me/nogotofail) leitet sich von der goto-fail-Sicherheitslücke ab, die es ermöglichte, verschlüsselte Web-Verbindungen auf iOS- und OS-X-Geräten abzufangen und zu umgehen. Das neue Tool hat Google als Open-Source-Projekt auf GitHub zur Verfügung gestellt. In erster Linie eignet es sich dazu, im Unternehmen eingesetzte Geräte und Software dahingehend zu überprüfen, ob sie sicher vor TSL/SSL-Schwachstellen sind und ob fehlerhafte Konfigurationen ein Sicherheitsrisiko bergen.
Nogotofail überprüft beispielsweise, ob im Netzwerk Probleme mit SSL-Zertifikatsprüfungen, HTTPS und
TLS/SSL-Library-Bugs oder dem SSL- und STARTTLS-Stripping bestehen. Das Sicherheitstool lässt sich mit allen gängigen Desktop-Systemen wie OS X, Windows, Linux und Chrome OS als auch mit mobilen Plattformen wie Android oder iOS verwenden – so gut wie jedes Gerät, das sich mit dem Internet verbinden lässt, kann damit genau überprüft werden.
Der Client der Angriffs-Engine, der zur Konfiguration nötig ist und Test-Ergebnisse anzeigt, läuft allerdings nur auf Android oder Linux. Die Angriffs-Engine selbst lässt sich als Router, VPN-Server oder Proxy einsetzen.