Kevin Bocek, Vice President Security Strategy & Threat Intelligence von Venafi, ist überzeugt: mehr Verschlüsselung bedeutet zugleich mehr Angriffe auf das Vertrauenssystem. [...]
3. Code-Signing-Dienste für bösartigen Code werden alltäglich
Wenn Angreifer Malware-Code mit Zertifikaten signieren, können sie Malware leichter als vertrauenswürdig erscheinen lassen und haben bessere Chancen, ihre Opfer zu täuschen. Die IBM X-Force Sicherheitsforscher haben regelrechte Code-Signing-Cerficates-as-a-Service-Angebote im Internet verfolgt. Es gibt sogar Malware-Tools, die mit Code-Signing-Zertifikaten gebündelt sind.
Intel Security hat fast 20 Millionen einzelne Teile bösartigen Codes gefunden, die signiert sind und von Zertifikaten unterstützt werden. Auch das Common Computing Security Standards (CCSS) Forum verfolgt digitale Zertifikate, die von Malware genutzt werden. Insgesamt wächst die Zahl signierter schädlicher Programme um 50 Prozent pro Quartal, und es ist zu erwarten, dass sich diese Entwicklung noch weiter beschleunigt.
Unternehmen und Behörden dürfen sich nicht mehr allein auf Sicherheitskontrollen verlassen, die darauf ausgelegt sind, Schlüsseln und Zertifikaten blind zu vertrauen. Sie müssen feststellen können, ob ein Zertifikat tatsächlich vertrauenswürdig ist, und müssen es im Bedarfsfall blocken oder reparieren können. Außerdem müssen Unternehmen die Integrität ihrer eigenen Code-Signing-Praktiken gewährleisten, damit ihre Zertifikate und ihre Marke geschützt sind und ihre Kunden nicht das Vertrauen in die Seriosität der Software verlieren, die sie anbieten.
4. Zertifizierungsstellen (CAs) werden unsicherer und das Vertrauen in Zertifikate sinkt.
Dienste wie „Let’s Encrypt“ werden mehr kostenlose Zertifikate ausstellen, während die CAs weiter an Glaubwürdigkeit verlieren werden. Ihre Zertifikate werden immer öfter von Cyber-Kriminellen gespooft und CAs werden selbst legitime Zertifikate für gefälschte Websites ausstellen.
Der Wert eines Zertifikats wird sich nicht mehr an den Ausstellungskosten bemessen, sondern am Wert und Ruf der ausstellenden CA und am Zweck des Zertifikats. Damit dieser Wert gewahrt bleibt, dürfen Unternehmen die Ausstellung von Zertifikaten nur glaubwürdigen CAs überlassen und müssen die Integrität und Sicherheit ihrer Zertifikate gewährleisten.
5. Die Anwendergemeinde wird CAs bewerten – was ebenfalls zum Vertrauensverlust beitragen wird
Anwendergruppen und große Browser werden anfangen, die CAs zu bewerten. So erkennen beispielsweise Google und Mozilla in ihren Browsern das China Internet Network Information Center (CNNIC) mittlerweile nicht mehr als vertrauenswürdige Root-CA an. Apple und Microsoft tun dies noch, doch in einer Umfrage auf der BlackHat USA 2015 gaben 24 Prozent der Befragten an, dass sie das CNNIC als vertrauenswürdige Root-CA aus ihren Browsern entfernt haben.
Dies demonstriert, dass die Nutzer-Communities anfangen, CAs selbst unterschiedlich einzustufen. Und angesichts von Studien wie der von Netcraft, die zeigte, dass mehrere Zertifizierungsstellen domain-validierte SSL-Zertifikate für Phishing-Websites ausgestellt haben, wird es für die Nutzer-Communities Gründe genug geben, bestimmte CAs als unzuverlässig zu betrachten.
Unternehmen werden diesen Beispielen folgen müssen. Sie dürfen CAs oder Zertifikaten nicht länger blind vertrauen, sondern müssen auf deren Reputation achten. Mit Tools zur Bewertung der Zertifikatsreputation, Whitelisting, Blacklisting und ähnlichen Lösungen können sich Unternehmen die Empfehlungen von Anwendergruppen, großen Browsern und neuen Reputationsdiensten zunutze machen, um sich besser zu schützen.
6. Große Sicherheitsanbieter werden Kunden und Umsätze verlieren und insgesamt an Glaubwürdigkeit einbüßen, weil sie Angreifer nicht erkennen können, die in verschlüsseltem Datenverkehr lauern.
Die Zunahme der verschlüsselten Verbindungen wird die Angriffsfläche weiter vergrößern und Kriminellen noch mehr Chancen für Angriffe geben
Die meisten Unternehmen werden nicht fähig sein, APT-artige Angriffe zu entdecken. Und diejenigen, die sie erkennen, werden die Probleme oft nur unvollständig beheben und kompromittierte Schlüssel und Zertifikate nicht einziehen und ersetzen.
Unternehmen werden Sicherheitslösungen einsetzen müssen, die den eingehenden wie auch ausgehenden Datenverkehr in Echtzeit entschlüsseln und analysieren können. Ohne diese Fähigkeit werden sie Opfer von Angriffen werden, die sich in verschlüsseltem Datenverkehr verbergen. Ihre Netze und Daten werden kompromittiert werden, und letzten Endes werden sie Kunden und Einnahmen einbüßen.
FAZIT
Die vermehrte Verwendung von Verschlüsselung und die damit verbundene Zunahme der Schlüssel und Zertifikate im Jahr 2016 wird Cyber-Kriminellen noch mehr Chancen eröffnen, sich in verschlüsseltem Datenverkehr zu verbergen und MITM-Angriffe ausführen. Zudem werden sie Schlüssel und Zertifikate nutzen, um ihre Machenschaften auf Phishing-Sites zu tarnen, und Malware mit Code-Signing-Zertifikaten den Anstrich von Legitimität geben. Unternehmen haben jedoch Mittel, um sich gegen all dies zu wehren. Anwendergruppen sowie die Anbieter großer Browser werden Empfehlungen geben.
*Kevin Bocek ist Vice President Security Strategy & Threat Intelligence von Venafi.
Be the first to comment