Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware

Amazon: Kindle 2 ein Verkaufsschlager
Hartz-IV-Kürzung aufgehoben: Lohndumping

Hash-Algorithmen: Buffer Overflows gefunden

Einige der Programme, die im Wettbewerb um einen neuen, sichereren Hash-Algorithmus eingereicht wurden, sind anfällig für Angriffe wie Buffer Overflows.

Der vom US-amerikanischen National Institute of Standards and Technology veranstaltete Wettbewerb soll einen Ersatz für die sich zunehmend als unsicher erweisenden aktuellen Hash-Algorithmen wie SHA-1 und MD5 finden. An dem Wettbewerb nehmen sowohl völlig unbekannte wie auch sehr namhafte Krypto-Experten teil.

Einige der eingereichten Beiträge jedoch scheinen an Implementierungsfehlern zu leiden. Fehler bei der Speicher-Adressierung können dabei zu sogenannten Buffer Overflows führen, die geübte Angreifer ausnutzen können, um das Programm zum Absturz zu bringen oder aber, um Schadcode auf dem Zielsystem auszuführen. Dabei traf es nicht nur Unbekannte: Auch die Implementierung des Krypto-Gurus Ronald Rivest, Mit-Erfinder des bekannten RSA-Algorithmus, soll gleich drei derartige Fehler aufweisen.

Die Fehler liegen dabei in der Implementierung und haben nichts mit der Sicherheit des Algorithmus selbst zu tun. Trotzdem könnten sie sich im Ernstfall als äußerst gefährlich erweisen. So war beispielsweise ein Bug in der RSA-Referenzimplementierung, der seinen Weg in die produktiv eingesetzte Version fand, verantwortlich für Schwächen in OpenSSH und anderen SSH-Implementierungen.

Experten machen die weit verbreitete Benutzung der Programmiersprache C für die Häufung derartiger Sicherheitslücken verantwortlich. Zwar hat C den Vorteil, weit verbreitet und plattformunabhängig zu sein und relativ performante Programme zu erzeugen, und wird deswegen gerade in der Open Source-Szene sehr gerne verwendet. C hat jedoch eindeutige Schwächen beim Speicher-Management. Dieses muss dort manuell vorgenommen werden, was relativ fehleranfällig ist - eine Unachtsamkeit des Programmierers reicht aus, um Sicherheitslücken wie die nun in den Wettbewerbsbeiträgen gefundenen zu verursachen. (Annika Kremer)

(via The Register, thx!)

News Redaktion am Dienstag, 24.02.2009 16:38 Uhr

tagsTags: hash-algorithmus kryptografie c programmierung rivest wettbewerb verschlüsselung buffer overflow

Bookmark and Share
Auf Facebook teilen
 
Weitere interessante News
10 Reaktionen zu dieser Nachricht
  • Annika_Kremer am 25.02.2009 12:14:56

    Meiner Meinung nach ist der Implementierungsfehler also auf Nachlässigkeiten in der Programmierung und mangelnde Codedurchsicht zurückzuführen, aber ich was solls, die Idee ist wohl eher das was zählt. Klar, der Algorithmus selbst ist wichtiger, kommt ja auf die Idee an, ...

  • MirkoFon am 25.02.2009 11:12:09

    Mhhhh, ich weiss nicht unbedingt wie mächtig statische Codeanalyse zu diesem Zeitpunkt ist, aber ich denke diese Memoryleaks hätten damit auf jeden Fall unterbunden werden können, schon allein durch einen check auf zuweisung und Grössenuntersuchungdes zugewiesenen Bereichs. Meiner Meinung nach ...

  • ADI64 am 25.02.2009 10:42:26

    Ich würde das ganze nicht so an C aufhängen, man kann ohne ein Hexer zu sein sehr sicheren C-Code schreiben und es ist eher peinlich für die Implementierungen der ganzen Sicherheitsexperten, wenn das hier nicht passiert ist. Ich würde nicht unbedingt die Sicherheitsexperten ...

  • 9jsw am 24.02.2009 20:40:14

    Es gibt aber durchaus Sprachen, wo man eher Fehler macht bzw sich diese eher auswirken. Es geht nicht um Schuld, sondern um Risikovermeidung.Erstmal hat das ja nichts mit dem Algorithmus zu tun, wenn eine Implementierung fehlerhaft war. Dazu wäre ein derartiges Algorith ...

  • Anval am 24.02.2009 19:43:29

    aber total am thema vorbei ^^ Äh ne. Bei einer Kommerziellen Software dauert es viel länger bis so ein Fehler auffällt und vor allem bis er gefunden wird... Anval ...

weitere Kommentare lesen     Nachricht kommentieren

 
News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

befreit: ipad 3 & iphone 4s

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...

Browsergames
Gondal World

TOPTIPP: Gondal World

Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! Escaria spielen

Escaria

Escaria

Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! Escaria spielen

Artyria

Artyria

Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. Artyria spielen

Gondal

Gondal

Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. Gondal spielen

Last Emperor

Last Emperor

Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. Last Emperor spielen

Nightcreeps

Nightcreeps

Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. Nightcreeps spielen

gulli:picsArtikel empfehlengulli RSS News Feedsgulli RSS NewsPresso Feedsgulli:Newslettergulli twittertgulli bei facebookgulli:news im AppStoreSeitenanfang

© 1998-2012 InQnet GmbH

Hardwareclips