Aussteller von Domain-Zertifikaten lassen sich austricksen

12. September 2018, 11:38
  • security
  • lücke
image

Eigentlich sollen Web-Zertifikate die Vertrauenswürdigkeit einer Internet-Domain sicherstellen und sie sind die Grundlage des SSL-/TLS-Protokolls.

Eigentlich sollen Web-Zertifikate die Vertrauenswürdigkeit einer Internet-Domain sicherstellen und sie sind die Grundlage des SSL-/TLS-Protokolls. Ein Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigte nun auf, dass man betrügerische Zertifikate mit viel weniger Aufwand nutzen kann als bislang angenommen.
Offenbar gibt es diverse Lücke in der Domänenvalidierung, die man ausnutzen kann, beziehungsweise, schlimmer, die Domain Validation (DV) ist "grundsätzlich fehlerhaft", so die Security-Forscher. DV ist das am meisten eingesetzte Prüfverfahren.
Konkret können Kriminelle viele Zertifikats-Ausgabestellen (Web-CAs) derart täuschen, dass diese als autorisierte Organisation fälschlicherweise Zertifikate ausgeben. Dabei geht es nicht nur um skurrile Domains, sondern um jede. Also können Kriminelle unberechtigterweise ein gültiges Zertifikat im Namen eines renommierten Online-Shops erhalten und sich in der Folge mit einem visuell identischen Shop als dessen Betreiber ausgeben, beschreiben die Forscher ein Beispiel. In diesem Falle wird bei der URL ein grünes Vorhängeschloss zu sehen sein wie beim richtigen Anbieter.
SSL-/TLS-Protokolle schützen aber auch Mailanbieter, geschäftliche Anwendungen oder E-Banking-Sites. Diese sind von der Lücke ebenfalls betroffen.
Die Lücke ist noch gravierender wegen eines weiteren Aspekts: "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", erklärt die leitende Security-Forscherin Haya Shulman vom Fraunhofer SIT.
Last, but not least, werden Vorwürfe laut, das zugrundeliegende DV-Problem sei seit Jahren bekannt, aber von den Web-CAs nicht gelöst worden. Dies obwohl die Namensauflösung via DNS eine der wichtigsten Säulen des Internets darstellt.
Shulmans Team hat nun die deutschen Sicherheitsbehörden und Web-CAs informiert. Und sie haben eine verbesserte Version von DV entwickelt, die "DV ++" heisst. Diese könne die lückenhafte Lösung ersetzen und ist kostenlos verfügbar.
Details will das Forschungsteam im Oktober an einer Security-Konferenz vorstellen. 'Heise Security' hat das zugrundeliegende Forschungspapier bereits studiert. (mag)

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022