Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Schloss

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen.

Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen.

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Weitere Informationen unter www.sit.fraunhofer.de/dvpp.
 

GRID LIST
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Hacker mit Tastatur

Zwischen Spaß und Verbrechen - Cybercrime als gesellschaftliches Phänomen

Er ist 20 Jahre alt, Schüler und wohnt noch bei seinen Eltern. So sieht das Profil des…
Smarte News aus der IT-Welt