Hightech

HIGHTECH

16.11.2018 - 13:30 | pressetext.redaktion
16.11.2018 - 06:15 | pressetext.redaktion
15.11.2018 - 10:30 | pressetext.redaktion

BUSINESS

16.11.2018 - 13:15 | Vogel Communications Group GmbH & Co. KG
16.11.2018 - 10:30 | pressetext.redaktion
16.11.2018 - 06:05 | pressetext.redaktion

MEDIEN

16.11.2018 - 16:15 | Bolch & Wiltner OG
16.11.2018 - 12:30 | pressetext.redaktion
16.11.2018 - 10:00 | Prof. Topsy Küppers

LEBEN

17.11.2018 - 09:30 | Club Tirol Businessclub in Wien
16.11.2018 - 14:00 | Reiteralm Bergbahnen GmbH & Co.KG
16.11.2018 - 12:00 | Tourist, Kongress und Saalbau GmbH
pte20180912014 Computer/Telekommunikation, Forschung/Technologie

Viele Web-Zertifikate täuschen Sicherheit vor

Fraunhofer-Forscher zeigen, wie sich Schwachstelle in Domänenvalidierung ausnutzen lässt

Code: Viele Web-Zertifikate sind manipulierbar (Foto: setcookie, pixelio.de)
Code: Viele Web-Zertifikate sind manipulierbar (Foto: setcookie, pixelio.de)

Darmstadt (pte014/12.09.2018/11:30) - Eine Schwachstelle in der Domänenvalidierung (DV) lässt sich gezielt manipulieren und gefährdet somit die Sicherheit beim Surfen. Ein Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) http://sit.fraunhofer.de hat demonstriert, dass diese Vertrauenswürdigkeit bei Web-Zertifikaten des vertraunswürdigen SSL-/TLS-Protokolls auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Falsche Zertifikate ausgegeben

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden DV, um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die DV grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyber-Krimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten - zum Beispiel für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Haya Shulman geleitete Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch des Internets, es bildet die Domain-Namen auf Internetadressen ab. Cyber-Sicherheitsforscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die DV. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer - etwa auf nationaler Ebene - hätte ausnutzen können.

Nur Laptop und Internet nötig

Die Fraunhofer-Wissenschaftler konnten nun zum ersten Mal zeigen, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", verdeutlicht Shulman die aktuelle Problemlage. Die deutschen Sicherheitsbehörden und Web-CAs wurden bereits informiert.

Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter http://sit.fraunhofer.de/dvpp . Die Darmstädter werden die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit in Toronto http://sigsac.org/ccs/CCS2018 im Oktober vorstellen.

(Ende)
Aussender: pressetext.redaktion
Ansprechpartner: Florian Fügemann
Tel.: +43-1-81140-313
E-Mail: fuegemann@pressetext.com
Website: www.pressetext.com
|
|
98.232 Abonnenten
|
167.461 Meldungen
|
66.241 Pressefotos
Top