Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen
11.09.2018
IT, NewMedia & Software
Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter http://www.sit.fraunhofer.de/dvpp (http://www.sit.fraunhofer.de/dvpp).
Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.
Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten - z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.
Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer - etwa auf nationaler Ebene - hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", sagt Dr. Haya Shulman vom Fraunhofer SIT.
Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter http://www.sit.fraunhofer.de/dvpp (http://www.sit.fraunhofer.de/dvpp). Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.
Fraunhofer SIT Internet-Sicherheit IT-Sicherheit Cybersecurity Web-CA DV ++ Website-Zertifikate Domänenvalidierung SSL-/TLS-Protokoll Computer Browser-Sicherheit Phishing
http://www.sit.fraunhofer.de
Fraunhofer-Institut für Sichere Informationstechnologie
Rheinstraße 75 64295 Darmstadt
Pressekontakt
http://www.sit.fraunhofer.de
Fraunhofer-Institut für Sichere Informationstechnologie
Rheinstraße 75 64295 Darmstadt
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Oliver Küch
08.10.2019 | Oliver Küch
Gravierende Sicherheitslücken in TwitterKit für iOS
Gravierende Sicherheitslücken in TwitterKit für iOS
02.10.2019 | Oliver Küch
Neuer Codescanner findet Software-Schwachstellen ohne Quellcode
Neuer Codescanner findet Software-Schwachstellen ohne Quellcode
15.08.2019 | Oliver Küch
Fraunhofer SIT - Gefahr übers Telefon
Fraunhofer SIT - Gefahr übers Telefon
24.07.2019 | Oliver Küch
Hessens Wissenschaftsministerin überzeugt sich von Cybersicherheit made in Darmstadt
Hessens Wissenschaftsministerin überzeugt sich von Cybersicherheit made in Darmstadt
09.07.2019 | Oliver Küch
Innovationen für mehr Cybersicherheit
Innovationen für mehr Cybersicherheit
Weitere Artikel in dieser Kategorie
23.04.2024 | BlackLine
BlackLine kündigt KI-gestützte Innovation zur Analyse von Journaleinträgen an
BlackLine kündigt KI-gestützte Innovation zur Analyse von Journaleinträgen an
23.04.2024 | Asseco Solutions
2.000 Euro für wichtigen Zweck: Asseco Solutions unterstützt die Arbeit des Kinderhospizdienstes Karlsruhe
2.000 Euro für wichtigen Zweck: Asseco Solutions unterstützt die Arbeit des Kinderhospizdienstes Karlsruhe
23.04.2024 | PRS Jakubowski ® Kostenlose Computer Entsorgung
Überlassen Sie uns die Computerentsorgung, denn wir haben einiges zu bieten.
Überlassen Sie uns die Computerentsorgung, denn wir haben einiges zu bieten.
23.04.2024 | Vier GmbH
Partner: VIER und questnet starten weltweiten Vertrieb von Cloud Contact Center & KI
Partner: VIER und questnet starten weltweiten Vertrieb von Cloud Contact Center & KI
23.04.2024 | Genetec Deutschland GmbH
Genetec eröffnet in Wien neuen Standort sowie Zentrum für Forschung und Entwicklung
Genetec eröffnet in Wien neuen Standort sowie Zentrum für Forschung und Entwicklung