Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

MalwareDie Security-Analysten des Zscaler-Threat-Labs-Teams haben zwischen August 2016 und Januar 2017 täglich rund 600.000 schädliche Aktivitäten in der globalen Sicherheitscloud beobachtet. Sie lagen verborgen hinter SSL-Verschlüsselung. 

Diese Aktivitäten wurden einer detaillierten Analyse unterzogen. Das Ergebnis: Durchschnittlich 10.000 Treffer monatlich durch Web-Exploits. Im Rahmen des jeweiligen Infektionszyklus setzen diese Exploits auf SSL-Verschlüsselung.

„Malware-Autoren zeigen sich kreativ darin, die Sicherheitsfunktionen moderner Browser zu unterwandern, denn Schadcode wird über Werbenetzwerke in völlig legitime Websites eingebunden. Darüber hinaus werden auch kostenfreie SSL-Zertifikate dazu missbraucht, um die mit Schadcode verseuchten Domains hinter HTTPS verbergen zu können. Damit umgehen die Malware-Autoren die Sicherheitskontrollen der Browser leider ganz einfach“, verdeutlicht Christian Heutger, Geschäftsführer der PSW GROUP.

Um den Standort ihrer Server zu tarnen, nutzen diverse Malware-Familien Anonymisierungsdienste wie Tor. Über gängige HTTP-Tor-Gateways verbinden sie sich via SSL. Insbesondere Botnets nutzen selbstsignierte Zertifikate, die Namen sowie Informationen echter Unternehmen annehmen, um als echt angenommen zu werden. Die Banking-Trojaner TrickLoader oder Dridex beispielsweise sind prominente Malware-Familien, die SSL-Verschlüsselung nutzen. Aber auch Adware-Distributionen missbrauchen SSL. Zu den bekanntesten gehören PrivDog und Superfish. Dafür installieren sie ein selbstsigniertes Root-Zertifikat auf dem Rechner des Opfers. Der Web-Datenverkehr wird abgefangen, damit die Werbung in die Websites eingeschleust werden kann. Ein besonderes Risiko ergibt sich dabei bei PrivDog: SSL/TLS-Zertifikate werden nicht verifiziert, sodass Anwender auf Websites mit ungültigem SSL-Zertifikat navigieren.

„Um der Malware im SSL-Traffic Herr zu werden, kann der Verzicht auf Verschlüsselung keinesfalls eine Lösung darstellen. Zu wichtig ist der damit einhergehende Datenschutz“, mahnt Christian Heutger. Leider wissen das auch Malware-Autoren und profitieren von der steigenden Nutzung von SSL/TLS-Zertifikaten. Unternehmen dürfen sich deshalb nicht in falscher Sicherheit wiegen. Insbesondere dann nicht, wenn sie sich Tools zum Schutz vor Phishing und Ransomware beschaffen, jedoch den verschlüsselten Datenverkehr nicht in die nötige Sicherheitsprüfung einbeziehen. „Können Unternehmen den SSL-verschlüsselten Traffic nicht untersuchen, haben sie ein Problem. Denn dahinter können sich Exploit Kits genauso verbergen wie Ad- und Malware. Um Gefahren zu identifizieren, reichen Domain- und IP-Blocking nicht aus", so Heutger weiter.

Die Untersuchung von SSL-verschlüsseltem Datenverkehr beansprucht jedoch sehr viel Rechenleistung und bremst damit die Performance aus. Deshalb schalten viele Unternehmen die SSL-Inspektion aufgrund der ausgebremsten Datenströme aus. Aber genau damit setzen Unternehmen ihre Anwender der Gefahr schutzlos aus. „Es existieren Tools zum Traffic-Scan, die die nötige Performanz erhalten und datenschutzkonform scannen“, macht Christian Heutger aufmerksam.

Der IT-Sicherheitsexperte rät grundsätzlich jedem Website-Betreiber zur Absicherung seines Datenverkehrs zu einem SSL/TLS-Zertifikat: „SSL-Zertifikatist jedoch nicht gleich SSL-Zertifikat. Es gibt verschiedene Validierungsstufen“, so Heutger. Auf der niedrigsten Stufe prüft eine Zertifizierungsstelle lediglich die Identität des Website-Besitzers und stellt domainvalidierte SSL/TLS-Zertifikate aus. Solche Zertifikate beschaffen sich leider auch Betrüger in großem Stil. Mit ihnen lassen sie ihre betrügerischen Phishing-Websites möglichst unverdächtig erscheinen. „Die nächste Stufe erachte ich als Mindest-Validierungsstufe, sobald persönliche Daten übermittelt werden - und sei es auch nur eine E-Mail-Adresse. Neben der Prüfung des Whois-Eintrags prüfen die Zertifizierungsstellen auchden Handelsregisterauszug und nehmen telefonisch Kontakt zum Besteller auf. Die dann ausgestellten Zertifikate heißen organisationsvalidierte SSL/TLS-Zertifikate. Schließlich gibt es noch Extended Validation Zertifikate. Hier prüfen Zertifizierungsstellen noch umfangreicher und verlangen häufig zusätzliche Dokumente, die der Identifikation dienen. Pflicht ist es in jedem Fall, in einem öffentlichen Register auffindbar zu sein", erklärt Christian Heutger. 

Christian Heutger

Autor: Christian Heutger, Geschäftsführer der PSW GROUP

 

GRID LIST
Tb W190 H80 Crop Int Be0eef5a5cb61cb3ac7384102e439ab0

Cyberkrimininalität: Zwischen Anspruch und Kommerzialisierung

Entwicklern von Malware wie aktuell Goncalo Esteves wird immer häufiger der Prozess…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security