Forscher wissen seit langem, dass sie verborgene Einblicke in das Innenleben einer Website gewinnen können, indem sie die Zeit messen, die für die Erfüllung verschiedener Anforderungen benötigt wird, und Erkenntnisse – und potenzielle Schwächen – aus geringfügigen Abweichungen extrapolieren. Solche „Web-Timing-Angriffe“ werden seit Jahren beschrieben, sind jedoch oft zu komplex, als dass Angreifer sie in der Praxis anwenden könnten, selbst wenn sie theoretisch funktionieren. Auf der Black Hat-Sicherheitskonferenz diese Woche in Las Vegas warnte ein Forscher jedoch, dass Web-Timing-Angriffe tatsächlich machbar und reif für die Ausnutzung seien.
James Kettle, Forschungsdirektor bei PortSwigger, einem auf Webanwendungssicherheit spezialisierten Unternehmen, hat eine Reihe von Web-Timing-Angriffstechniken entwickelt, mit denen drei verschiedene Kategorien von Website-Schwachstellen aufgedeckt werden können. Er validierte die Methoden mithilfe einer von ihm erstellten Testumgebung, in der 30.000 echte Websites zusammengestellt wurden, die alle Programme zur Fehlersuche anbieten. Er sagte, das Ziel dieser Arbeit bestehe darin, zu zeigen, dass es einfacher wird, diese auszunutzen, sobald jemand ein konzeptionelles Verständnis für die Arten von Informationen hat, die Web-Timing-Angriffe liefern können.
„Ich habe es immer vermieden, zeitliche Angriffe zu erforschen, weil es sich um ein Thema handelt, das einen gewissen Ruf genießt“, sagt Kettle. „Jeder recherchiert darüber und sagt, dass ihre Forschung praktisch sei, aber niemand scheint jemals Zeitangriffe im wirklichen Leben einzusetzen. Ist das also wirklich praktisch? Ich hoffe, dass diese Arbeit den Menschen zeigt, dass diese Dinge heutzutage tatsächlich funktionieren, und sie zum Nachdenken anregt. »
Kettle wurde zum Teil von einer Forschungsarbeit aus dem Jahr 2020 mit dem Titel „Timeless Timing Attacks“ inspiriert, die darauf abzielte, eine Lösung für ein häufiges Problem zu finden. Der Spitzname des Artikels ist als „Netzwerk-Jitter“ bekannt und bezieht sich auf die Verzögerungen zwischen dem Senden und Empfangen eines Signals in einem Netzwerk. Diese Schwankungen wirken sich auf Timing-Messungen aus, sind jedoch unabhängig von der Verarbeitung des Webservers, der für Timing-Angriffe gemessen wird, sodass sie die Messwerte verfälschen können. Die Studie aus dem Jahr 2020 wies jedoch darauf hin, dass es beim Senden von Anfragen über das allgegenwärtige HTTP/2-Netzwerkprotokoll möglich ist, zwei Anfragen in einem einzigen TCP-Kommunikationspaket zu platzieren, um zu wissen, dass beide Anfragen gleichzeitig beim Server angekommen sind. Aufgrund des Designs von HTTP/2 werden die Antworten dann in der Reihenfolge zurückgegeben, dass die Antwort, deren Verarbeitung am wenigsten gedauert hat, als Erste und diejenige, deren Verarbeitung am längsten gedauert hat, an zweiter Stelle steht. Dies liefert zuverlässige und objektive Informationen über die Systemverarbeitungszeit, ohne dass zusätzliche Kenntnisse über den Ziel-Webserver erforderlich sind, daher „zeitlose Timing-Angriffe“.
Web-Timing-Angriffe gehören zu einer Kategorie von Hacks, die als „Seitenkanäle“ bekannt sind und bei denen der Angreifer Informationen über ein Ziel auf der Grundlage seiner tatsächlichen physischen Eigenschaften sammelt. In seiner neuen Arbeit hat Kettle die Technik der „zeitlosen Timing-Angriffe“ zur Reduzierung von Netzwerkrauschen perfektioniert und außerdem Schritte unternommen, um ähnliche Probleme mit serverbezogenem Rauschen zu lösen, damit seine Messungen genauer und zuverlässiger sind. Anschließend begann man mit Timing-Angriffen, um Codierungsfehler und unsichtbare Fehler in Websites zu finden, die für Entwickler oder böswillige Akteure typischerweise schwer zu finden sind, aber dank Synchronisierungsmessungen in durchgesickerten Informationen hervorgehoben werden.
Kettle nutzt nicht nur Timing-Angriffe, um versteckte Angriffspunkte zu finden, sondern hat auch wirksame Techniken zur Erkennung zweier weiterer häufiger Arten von ausnutzbaren Web-Bugs entwickelt. Eine sogenannte serverseitige Injektionsschwachstelle ermöglicht es einem Angreifer, bösartigen Code einzuschleusen, um Befehle zu senden und auf Daten zuzugreifen, die nicht verfügbar sein sollten. Und der andere, ein sogenannter falsch konfigurierter Reverse-Proxy, ermöglicht unbeabsichtigten Zugriff auf ein System.
Während seiner Präsentation bei Black Hat am Mittwoch demonstrierte Kettle, wie er einen Web-Timing-Angriff nutzen kann, um eine Fehlkonfiguration aufzudecken und letztendlich die Firewall einer Ziel-Webanwendung zu umgehen.
„Sobald Sie diese Fehlkonfiguration des Reverse-Proxys finden, umgehen Sie einfach die Firewall“, sagte er WIRED vor seinem Vortrag. „Sobald Sie diese Remote-Proxys gefunden haben, ist die Ausführung absolut trivial, und Timing-Angriffe sind bei der Erkennung dieser Probleme effektiv. »
Parallel zu seinem Vortrag stellte Kettle Funktionen für das Open-Source-Tool zum Scannen von Schwachstellen namens Param Miner vor. Das Tool ist eine Erweiterung der Webanwendungssicherheitsbewertungsplattform Burp Suite, die von Kettles Arbeitgeber PortSwigger entwickelt wurde. Kettle möchte die Menschen über den Nutzen von Web-Timing-Angriffen aufklären, möchte aber auch sicherstellen, dass die Techniken zur Verteidigung eingesetzt werden, auch wenn die Menschen die zugrunde liegenden Konzepte nicht verstehen.
„Ich habe all diese neuen Funktionen in Param Miner integriert, damit Leute, die sich in diesem Bereich nicht auskennen, dieses Tool nutzen und einige dieser Schwachstellen finden können“, sagt Kettle. „Es zeigt den Menschen Dinge, die sie sonst nicht gesehen hätten. »