Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung
Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.
Digitale Signatur soll schützen
Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.
Sicherheitsfunktion ausgehebelt
„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, WordPress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Gegenmaßnahmen vorgeschlagen
„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.
Ergebnisvorschau
Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de/research/publications/BreakingSAML
Weitere Informationen
Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de
Redaktion: Jens Wylkop
Media Contact
Weitere Informationen:
http://www.ruhr-uni-bochum.de/ http://www.nds.rub.de/research/publications/BreakingSAMLAlle Nachrichten aus der Kategorie: Informationstechnologie
Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.
Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.
Neueste Beiträge
Ideen für die Zukunft
TU Berlin präsentiert sich vom 22. bis 26. April 2024 mit neun Projekten auf der Hannover Messe 2024. Die HANNOVER MESSE gilt als die Weltleitmesse der Industrie. Ihr diesjähriger Schwerpunkt…
Peptide auf interstellarem Eis
Dass einfache Peptide auf kosmischen Staubkörnern entstehen können, wurde vom Forschungsteam um Dr. Serge Krasnokutski vom Astrophysikalischen Labor des Max-Planck-Instituts für Astronomie an der Universität Jena bereits gezeigt. Bisher ging…
Wasserstoff-Produktion in der heimischen Garage
Forschungsteam der Frankfurt UAS entwickelt Prototyp für Privathaushalte: Förderzusage vom Land Hessen für 2. Projektphase. Wasserstoff als Energieträger der Zukunft ist nicht frei verfügbar, sondern muss aufwendig hergestellt werden. Das…