Categories: Sicherheit

Google veröffentlicht Sicherheitstool als Open Source

Google hat das Tool Nogotofail veröffentlicht. Es testet die Netzwerksicherheit und soll verhindern, dass die Verschlüsselung von HTTPS-Verbindungen durch übliche Konfigurationsfehler oder bekannte Schwachstellen unterminiert wird. Der Name soll offenbar an die „Goto fail“-Lücke erinnern, die Anfang dieses Jahres in Mac- und iOS-Systemen auftrat.

Die Veröffentlichung folgt der kürzlichen Entdeckung kritischer Schwachstellen in den TLS/SSL-Protokollen wie dem Heartbleed-Bug in OpenSSL sowie dem Poodle“-Bug„. Google-Entwickler entdeckten diese gefährliche Sicherheitslücke in dem 15 Jahre alten Verschlüsselungsprotokoll SSL 3.0. Sie ermöglichte es Angreifern, Informationen zu entschlüsseln, die über eine damit gesicherte Verbindung transportiert wurden.

Nogotofail kann auf einem Router, einem Linux-Rechner oder einem VPN-Server eingesetzt werden. Es ist unter Android, iOS, Linux, Windows, Chrome OS oder OS X funktionsfähig – und damit praktisch auf jedem Gerät, das zur Herstellung einer Internetverbindung genutzt wird.

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

„Wir haben dieses Tool selbst für einige Zeit genutzt und mit den Entwicklern zusammengearbeitet, um die Sicherheit ihrer Apps zu verbessern“, schreibt in einem Blogeintrag Chad Brubaker, der bei Google an der Android-Sicherheit arbeitet. „Aber wir wollen, dass TLS/SSL so schnell wie möglich weitere Verbreitung findet.“ Um andere zum Austesten ihrer Anwendungen anzuregen, wurde der Nogotofail-Code auf GitHub als Open-Source-Projekt freigegeben.

Die Veröffentlichung folgt außerdem Googles verstärktem Drängen der Softwareentwickler, jede Kommunikation mit SSL (Secure Sockets Layer) zu verschlüsseln und nicht nur ganz offensichtlich gefährdete Verbindungen wie etwa beim Onlinebanking. „Google engagiert sich dafür, TLS/SSL in allen Anwendungen und Diensten vermehrt zu nutzen“, schreibt Brubaker weiter. Aber ‚HTTPS everywhere‘ ist nicht genug – es muss auch korrekt eingesetzt werden. Die meisten Plattformen und Geräte haben sichere Standardeinstellungen, aber einige Anwendungen und Bibliotheken setzen sich über sie hinweg und verspielen die Sicherheit. In einigen Fällen haben wir auch erlebt, dass Plattformen sich Fehler erlauben. Während Anwendungen komplexer werden, sich mit mehr Services verbinden und mehr Bibliotheken von Drittanbietern nutzen, können sich solche Fehler leichter einschleichen.“

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago