VERANSTALTUNGEN

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

MalwareDie Security-Analysten des Zscaler-Threat-Labs-Teams haben zwischen August 2016 und Januar 2017 täglich rund 600.000 schädliche Aktivitäten in der globalen Sicherheitscloud beobachtet. Sie lagen verborgen hinter SSL-Verschlüsselung. 

Diese Aktivitäten wurden einer detaillierten Analyse unterzogen. Das Ergebnis: Durchschnittlich 10.000 Treffer monatlich durch Web-Exploits. Im Rahmen des jeweiligen Infektionszyklus setzen diese Exploits auf SSL-Verschlüsselung.

„Malware-Autoren zeigen sich kreativ darin, die Sicherheitsfunktionen moderner Browser zu unterwandern, denn Schadcode wird über Werbenetzwerke in völlig legitime Websites eingebunden. Darüber hinaus werden auch kostenfreie SSL-Zertifikate dazu missbraucht, um die mit Schadcode verseuchten Domains hinter HTTPS verbergen zu können. Damit umgehen die Malware-Autoren die Sicherheitskontrollen der Browser leider ganz einfach“, verdeutlicht Christian Heutger, Geschäftsführer der PSW GROUP.

Um den Standort ihrer Server zu tarnen, nutzen diverse Malware-Familien Anonymisierungsdienste wie Tor. Über gängige HTTP-Tor-Gateways verbinden sie sich via SSL. Insbesondere Botnets nutzen selbstsignierte Zertifikate, die Namen sowie Informationen echter Unternehmen annehmen, um als echt angenommen zu werden. Die Banking-Trojaner TrickLoader oder Dridex beispielsweise sind prominente Malware-Familien, die SSL-Verschlüsselung nutzen. Aber auch Adware-Distributionen missbrauchen SSL. Zu den bekanntesten gehören PrivDog und Superfish. Dafür installieren sie ein selbstsigniertes Root-Zertifikat auf dem Rechner des Opfers. Der Web-Datenverkehr wird abgefangen, damit die Werbung in die Websites eingeschleust werden kann. Ein besonderes Risiko ergibt sich dabei bei PrivDog: SSL/TLS-Zertifikate werden nicht verifiziert, sodass Anwender auf Websites mit ungültigem SSL-Zertifikat navigieren.

„Um der Malware im SSL-Traffic Herr zu werden, kann der Verzicht auf Verschlüsselung keinesfalls eine Lösung darstellen. Zu wichtig ist der damit einhergehende Datenschutz“, mahnt Christian Heutger. Leider wissen das auch Malware-Autoren und profitieren von der steigenden Nutzung von SSL/TLS-Zertifikaten. Unternehmen dürfen sich deshalb nicht in falscher Sicherheit wiegen. Insbesondere dann nicht, wenn sie sich Tools zum Schutz vor Phishing und Ransomware beschaffen, jedoch den verschlüsselten Datenverkehr nicht in die nötige Sicherheitsprüfung einbeziehen. „Können Unternehmen den SSL-verschlüsselten Traffic nicht untersuchen, haben sie ein Problem. Denn dahinter können sich Exploit Kits genauso verbergen wie Ad- und Malware. Um Gefahren zu identifizieren, reichen Domain- und IP-Blocking nicht aus", so Heutger weiter.

Die Untersuchung von SSL-verschlüsseltem Datenverkehr beansprucht jedoch sehr viel Rechenleistung und bremst damit die Performance aus. Deshalb schalten viele Unternehmen die SSL-Inspektion aufgrund der ausgebremsten Datenströme aus. Aber genau damit setzen Unternehmen ihre Anwender der Gefahr schutzlos aus. „Es existieren Tools zum Traffic-Scan, die die nötige Performanz erhalten und datenschutzkonform scannen“, macht Christian Heutger aufmerksam.

Der IT-Sicherheitsexperte rät grundsätzlich jedem Website-Betreiber zur Absicherung seines Datenverkehrs zu einem SSL/TLS-Zertifikat: „SSL-Zertifikatist jedoch nicht gleich SSL-Zertifikat. Es gibt verschiedene Validierungsstufen“, so Heutger. Auf der niedrigsten Stufe prüft eine Zertifizierungsstelle lediglich die Identität des Website-Besitzers und stellt domainvalidierte SSL/TLS-Zertifikate aus. Solche Zertifikate beschaffen sich leider auch Betrüger in großem Stil. Mit ihnen lassen sie ihre betrügerischen Phishing-Websites möglichst unverdächtig erscheinen. „Die nächste Stufe erachte ich als Mindest-Validierungsstufe, sobald persönliche Daten übermittelt werden - und sei es auch nur eine E-Mail-Adresse. Neben der Prüfung des Whois-Eintrags prüfen die Zertifizierungsstellen auchden Handelsregisterauszug und nehmen telefonisch Kontakt zum Besteller auf. Die dann ausgestellten Zertifikate heißen organisationsvalidierte SSL/TLS-Zertifikate. Schließlich gibt es noch Extended Validation Zertifikate. Hier prüfen Zertifizierungsstellen noch umfangreicher und verlangen häufig zusätzliche Dokumente, die der Identifikation dienen. Pflicht ist es in jedem Fall, in einem öffentlichen Register auffindbar zu sein", erklärt Christian Heutger. 

Christian Heutger

Autor: Christian Heutger, Geschäftsführer der PSW GROUP

 

GRID LIST
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Bitcoin Mining

Ransomware bekommt Konkurrenz durch Kryptominer

In den ersten Monaten des Jahres 2018 lieferten sich Kryptotrojaner und Kryptominer ein…
Fußball WM Pokal

Cyberbedrohung zur Fussball WM

Alle vier Jahre steht sie wieder an, die Fußball-Weltmeisterschaft und viele sind bereits…
Malware Hacker

Malware und kriminelles Netzwerk für Online-Werbebetrug identifiziert

Bitdefender hat einen für Werbebetrug entwickelte Malware entdeckt, die seit 2012 aktiv…
Karsten Glied

Botnetze: Gefährliche Sicherheitslücken in Routern offengelegt

Fälschlicherweise gehen viele davon aus, dass das Schließen von Sicherheitslücken Aufgabe…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Jedes Unternehmen kann betroffen sein

Wie bekannt wurde, warnt das Bundesamt für Sicherheit in der Informationstechnologie…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security