12. September 2018 pte

Viele Web-Zertifikate täuschen Sicherheit vor

Fraunhofer-Forscher zeigen, wie sich Schwachstelle in Domänenvalidierung ausnutzen lässt. [...]

Code: Viele Web-Zertifikate sind manipulierbar. (c) setcookie, pixelio.de

Eine Schwachstelle in der Domänenvalidierung (DV) lässt sich gezielt manipulieren und gefährdet somit die Sicherheit beim Surfen. Ein Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat demonstriert, dass diese Vertrauenswürdigkeit bei Web-Zertifikaten des vertraunswürdigen SSL-/TLS-Protokolls auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Falsche Zertifikate ausgegeben

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden DV, um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die DV grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyber-Krimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – zum Beispiel für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Haya Shulman geleitete Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch des Internets, es bildet die Domain-Namen auf Internetadressen ab. Cyber-Sicherheitsforscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die DV. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können.

Nur Laptop und Internet nötig

Die Fraunhofer-Wissenschaftler konnten nun zum ersten Mal zeigen, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, verdeutlicht Shulman die aktuelle Problemlage. Die deutschen Sicherheitsbehörden und Web-CAs wurden bereits informiert.

Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter . Die Darmstädter werden die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit in Toronto im Oktober vorstellen.


Mehr Artikel

Ismet Koyun, CEO und Gründer, KOBIl-Gruppe (c) KOBIL-Gruppe
Kommentar

Zwischen Innovation und Souveränitätsverlust – Ethik in Smart Cities

2. Juli 2024 Ismet Koyun*

Die Vision von Smart Cities ist verlockend. Sie versprechen eine Verbesserung der urbanen Lebensqualität – durch intelligente Infrastrukturen, die den Verkehr optimieren, den Energieverbrauch senken und städtische Dienstleistungen digitalisieren. Doch mit diesen Möglichkeiten gehen auch ethische Herausforderungen einher, die wir nicht ignorieren dürfen. Digitalpionier Ismet Koyun über Vorteile, Risiken und Lösungsansätze in vollständig vernetzten Städten. […]

News

Wie KI hilft, Büroräume zu verkleinern

2. Juli 2024

Die Auslastung von Büros sinkt, denn das Home Office oder flexible Arbeitsmodelle werden für Arbeitnehmer zunehmend beliebter. Dieser Trend bietet für die Chefetage auch Einsparungspotenzial. Damit die Räumlichkeiten tatsächlich effizient genutzt werden, braucht es KI und Technologie. […]

News

Austrian Standards setzt mit Zertifizierung und Lehrgang zu KI und Ethik neue Standards

2. Juli 2024

Austrian Standards startet mit einer neuen Personenzertifizierung zum Thema KI und Ethik. Mit Vorkenntnissen und Kompetenzen in einschlägigen Formaten kann das Zertifikat „Value-based Engineering Ambassador for Ethical IS & AI“ auf Basis der ISO/IEC/IEEE 24748-7000 erlangt werden. Austrian Standards bietet hierfür auch einen Lehrgang an, der eine umfassende Einführung in generative KI und deren Anwendungen bietet. […]

11,5 Prozent Umsatzwachstum sichern BE-terna Platz 11 In der Lünendonk-Liste 2024. (c) BE-terna
News

BE-terna wächst schneller als der Markt

1. Juli 2024 pi/cb

Während die 25 führenden mittelständischen IT-Beratungs- und Systemintegrationsunternehmen in Deutschland 2023 laut aktueller Lünendonk-Liste 2024 um durchschnittlich 9,1 Prozent gewachsen sind, konnte BE-terna seinen Umsatz um 11,5 Prozent steigern, auf dem deutschen Markt sogar um 18,6 Prozent. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*