Bochumer Forscher haben Single Sign-On ausgehebelt
Juraj Somorovky, Andreas Mayer, Jörg Schwenk, Marco Kampmann und Meiko Jensen vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum ist es gelungen nachzuweisen, dass die Authentifizierungsmethode Single-Sign-On nicht ausreichend sicher ist. Die Ergebnisse ihrer Arbeiten hat Juraj Somorovky heute auf dem 21. USENIX Security Symposium in Bellevue im US-Bundesstaat Washington vorgestellt.
Das sogenannte “Single Sign-On” als praktisches Mittel um der Tatsache Herr zu werden, dass heute tagtäglich viele unterschiedliche IT-Systeme Nutzer auffordern, sich über Benutzername und Passwort zu identifizieren – seien es nun Webshops, Cloud-Computing-Anwendungen wie Web-Mail, Online-Speicher oder Zugriff auf Dienste, die der Anwender in seiner Firma nutzt. Mit Single-Sign-On weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch.
Die Einmalanmeldung ist jedoch bei weitem nicht so sicher, wie bislang angenommen: Ungefähr 80 Prozent der von ihnen untersuchten Systeme wiesen massive Sicherheitslücken auf. Die Forscher vergleichen Single Sign-On- mit einem gut bewachten Tor verglichen: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt.
Viele Single-Sign-On-Systeme setzen auf die Security Assertion Markup Language (SAML), um diese Aufgabe zu meistern. Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt.
“Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. “Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben.”
Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem Salesforce.com, das IBM DataPower Security Gateway, Onelogin, das in Joomla, WordPress, SugarCRM und Drupal benutzt wird, sowie das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte Andreas Mayer. “Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden”, ergänzt Juraj Somorovsky.
Dennoch bleibt ein schaler Nachgeschmack: Erst kürzlich hat der Fall des US-Journalisten Mat Honan für Aufsehen gesorgt. Ihm hatte ein Angreifer – der sich inzwischen bei Honan gemeldet hat – nahezu ohne technische Kenntnisse, aber mit etwas kombinatorischem Geschick und unter Ausnutzung der sich für einen Angriff ideal ergänzende Lücken der Sicherheitspraktiken von Anbietern wie Apple und Amazon, sowohl die von ihm genutzten Apple-Geräte sperren sowie auch Passwörter für andere Dienste und Kreditkartendaten abgreifen und es Honan außerordentlich schwer machen können, die Firmen zu überzeugen, dass er das Opfer und nicht selber ein dreister Angreifer ist.
Durch die Arbeit der Bochumer Forscher geraten auch die in vielen Firmen beim Cloud Computing genutzten technischen Vorkehrungen in Misskredit. Die Schuld dafür ist nicht bei den Wissenschaftler zu suchen: Vielmehr ist den Firmen vorzuwerfen, dass sie durch externe auf Schwachstellen in denen von ihnen genutzten Technologien hingewiesen werden müssen. Unterm Strich bleibt der Eindruck, dass auch beim Cloud Computing – trotz anderslautender Beteuerungen – Sicherheit wie so oft bei der technischen Entwicklung nicht von Anfang an im Design berücksichtigt, sondern erst nachträglich aufgepfroft wird. Das rächt sich über kurz oder lang – wie zum Beispiel ale Nutzer von Microsoft- und Adobe-Produkten jeden zweiten Dienstag im Monat – dem sogenannten Patchday – erfahren müssen.