Hightech

HIGHTECH

26.09.2018 - 06:15 | pressetext.redaktion
26.09.2018 - 02:30 | eyeson
25.09.2018 - 15:55 | Shepard Fox Communications

BUSINESS

MEDIEN

26.09.2018 - 06:05 | pressetext.redaktion
25.09.2018 - 11:30 | pressetext.redaktion
25.09.2018 - 09:15 | der Kunstraum

LEBEN

26.09.2018 - 06:00 | pressetext.redaktion
25.09.2018 - 15:40 | B&K - Bettschart&Kofler Kommunikationsberatung
25.09.2018 - 14:10 | Hennrich.PR
pte20180912014 Computer/Telekommunikation, Forschung/Technologie

Viele Web-Zertifikate täuschen Sicherheit vor

Fraunhofer-Forscher zeigen, wie sich Schwachstelle in Domänenvalidierung ausnutzen lässt

Code: Viele Web-Zertifikate sind manipulierbar (Foto: setcookie, pixelio.de)
Code: Viele Web-Zertifikate sind manipulierbar (Foto: setcookie, pixelio.de)

Darmstadt (pte014/12.09.2018/11:30) - Eine Schwachstelle in der Domänenvalidierung (DV) lässt sich gezielt manipulieren und gefährdet somit die Sicherheit beim Surfen. Ein Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) http://sit.fraunhofer.de hat demonstriert, dass diese Vertrauenswürdigkeit bei Web-Zertifikaten des vertraunswürdigen SSL-/TLS-Protokolls auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Falsche Zertifikate ausgegeben

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden DV, um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die DV grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyber-Krimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten - zum Beispiel für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Haya Shulman geleitete Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch des Internets, es bildet die Domain-Namen auf Internetadressen ab. Cyber-Sicherheitsforscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die DV. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer - etwa auf nationaler Ebene - hätte ausnutzen können.

Nur Laptop und Internet nötig

Die Fraunhofer-Wissenschaftler konnten nun zum ersten Mal zeigen, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", verdeutlicht Shulman die aktuelle Problemlage. Die deutschen Sicherheitsbehörden und Web-CAs wurden bereits informiert.

Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter http://sit.fraunhofer.de/dvpp . Die Darmstädter werden die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit in Toronto http://sigsac.org/ccs/CCS2018 im Oktober vorstellen.

(Ende)
Aussender: pressetext.redaktion
Ansprechpartner: Florian Fügemann
Tel.: +43-1-81140-313
E-Mail: fuegemann@pressetext.com
Website: www.pressetext.com
|
|
98.205 Abonnenten
|
166.229 Meldungen
|
65.433 Pressefotos
Top