Login
Login-Name Passwort


 
Newsletter
Werbung

Do, 6. November 2014, 10:50

Software::Security

Google gibt Sicherheitswerkzeug nogotofail frei

Die Entwickler des Android Security Teams des Suchmaschinenanbieters Google haben mit nogotofail ein neues Werkeug veröffentlicht, mit dem Nutzer die Sicherheit ihrer Webanwendungen überprüfen können.

Nogotofail wurde geschaffen, um TLS/SSL-Sicherheitslücken aufzuspüren, die auf bekannte Schwachstellen oder eine fehlerhafte Konfiguration zurückzuführen sind. Das Werkzeug ist nach der Schwachstelle »Goto fail« benannt, die zu Jahresbeginn in Mac OS X- und iOS-Systemen gefunden wurde.

Wie der Android Security Engineer Chad Brubaker in einem Blogeintrag berichtet, läuft nogotofail auf Geräten mit Linux, Android, Chrome OS, iOS, OSX und Microsoft Windows. Sie Client-Server-Anwendung nogotofail ist in Python implementiert. Mit dem Werkzeug sollen Anwender schwache TLS/SSL-Verbindungen und ungewollte Klartextübertragungen auffinden können. Nogotofail prüft SSL-Zertifikate und erkennt bekannte Schwachstellen in eingesetzten HTTPS- und TLS/SSL-Bibliotheken sowie Konfigurationsfehler.

Der Server nogotofail.mitm kann als Router, VPN-Server oder Proxy betrieben werden. Wurde er mit allen vertrauenswürdigen TLS/SSL-Zertifikaten bekann gemacht, kann er genutzt werden, um den gesamten, über ihn abgewickelten Netzwerkverkehr zu überwachen. Der auf einem Netzwerkgerät gestartete Client dient lediglich dazu, dem Server Informationen zu übermitteln, um welches Gerät es sich handelt. So lässt sich später leicht erkennen, von welchem Gerät unsichere Verbindungen aufgebaut wurden. Werden Unregelmäßigkeiten festgestellt, werden diese von nogotofail.mitm ausgegeben bzw. geloggt. Zudem benachrichtigt nogotofail Nutzer mit Android- oder Linux-Geräten. Zu dem Zweck kann auch ein auffälliges Bild auf dem nogotofail-Server hinterlegt werden.

Nogotofail wird unter der Apache License 2.0 veröffentlicht und in einem Github-Repositorium zum Download bereitgestellt.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung