11. März 2016 Kevin Bocek*

Gastkommentar: Let’s Encrypt stellt eine Million Zertifikate aus – Eine Medaille mit zwei Seiten

Ein großes Lob an die Let’s Encrypt-Initiative für die Ausstellung einer Million kostenloser Zertifikate. Das ist eine großartige Sache —mehr SSL/TLS schützt Daten und Privatsphäre. Doch mehr Zertifikate und insbesondere solche, die nicht kontinuierlich überwacht und vor Missbrauch geschützt werden, sorgen sicherlich auch für steigendes kriminelles Interesse und zunehmende verbrecherische Aktivitäten. [...]

Für Cyber-Angreifer ist die Nutzung digitaler Zertifikate, mit denen sie sich einen vertrauenswürdigen Anstrich geben und sich in verschlüsseltem Traffic verbergen können, schnell zum Standard geworden – was dem ganzen Sinn und Zweck, der hinter verstärkter Verschlüsselung und dem Versuch, mithilfe kostenloser Zertifikate ein vertrauenswürdigeres Internet zu schaffen, steckt, fast entgegenwirkt.

Tatsächlich haben wir bereits erlebt, dass kostenlose Zertifikate von Bad Guys missbraucht wurden, wie beispielsweise bei der neuesten Malvertising-Kampagne, bei der von Let’s Encrypt ausgestellte Zertifikate zum Einsatz kamen. Cyber-Kriminelle werden in zunehmendem Maße Schlüssel ausnutzen und das Vertrauen, das Zertifikate genießen, missbrauchen, um Sicherheitskontrollen zu umgehen.

Es wird immer schwieriger zu erkennen, was vertrauenswürdig ist, und die verstärkte Nutzung von Verschlüsselung führt für Systeme, die vor Bedrohungen schützen, zu mehr toten Winkeln. Die Risiken im Falle missbrauchter Zertifikate sind sehr real. Unter anderem können sich Bad Guys in verschlüsseltem Traffic verbergen und so Malware übertragen oder Daten stehlen, mithilfe von Man-in-the-Middle-Angriffen (MitM) „gesicherte“ Kommunikation abfangen, Webseiten für Phishing-Angriffe spoofen und Malware verbreiten, die mithilfe eines scheinbar legitimen Zertifikats signiert ist.

Der Wert eines Zertifikats liegt nicht in seinen Ausstellungskosten, sondern beruht auf dem Wert sowie auf dem Ruf der ausstellenden Zertifizierungsstelle und dem Zweck des Zertifikats. Zur Erhaltung dieses Werts müssen Organisationen die Integrität und Sicherheit ihrer Zertifikate sicherstellen.

* Kevin Bocek ist VP Threat Intelligence and Security Strategy bei Venafi.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*