IT-Management.today IT-Management.today
  • Top Themen
  • Cloud
  • Security
  • Rechenzentrum
  • Kommunikation
  • Arbeitsplatz
  • Whitepaper
  • Veranstaltungen
Go to...
    Laura LangerLaura Langer
    11. September, 2018

    Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

    Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

    Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter www.sit.fraunhofer.de/dvpp.

    Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

    Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

    Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

    Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

    Die Fraunhofer-Gesellschaft ist die führende Organisation für angewandte Forschung in Europa. Unter ihrem Dach arbeiten 67 Institute und Forschungseinrichtungen an Standorten in ganz Deutschland. 24.000 Mitarbeiterinnen und Mitarbeiter bearbeiten das jährliche Forschungsvolumen von mehr als 2,1 Milliarden Euro. Davon fallen über 1,8 Milliarden Euro auf den Leistungsbereich Vertragsforschung. Über 70 Prozent dieses Leistungsbereichs erwirtschaftet die Fraunhofer-Gesellschaft mit Aufträgen aus der Industrie und mit öffentlich finanzierten Forschungsprojekten. Die internationale Zusammenarbeit wird durch Niederlassungen in Europa, Nord- und Südamerika sowie Asien gefördert.

    Kontakt
    Fraunhofer-Institut für Sichere Informationstechnologie
    Oliver Küch
    Rheinstraße 75
    64295 Darmstadt
    +49 6151 869-213
    oliver.kuech@sit.fraunhofer.de
    http://www.sit.fraunhofer.de

    Tags : Browser-Sicherheit, Computer, Cybersecurity, Domänenvalidierung, DV ++, Fraunhofer SIT, Internet-Sicherheit, IT-Sicherheit, Phishing, SSL-/TLS-Protokoll, Web-CA, Website-Zertifikate
    Share :
    • Facebook
    • Twitter
    • Google+
    • Pinterest
    • Linkedin
    • Email
    Laura Langer

    Laura Langer

    Laura ist seit Mitte 2015 als Redakteurin und Marketing Manager bei dem Business.today Network tätig. Zuvor machte Sie Ihren Master-Abschluss in BWL mit Schwerpunkt Marketing.

    Next article
    Datenrettung: Leawo iOS Data Recovery mit 50% Rabatt erhältlich
    Previous article
    Was ist Big Data?

    Related Posts

    • Die größen Cybersecurity-Verletzungen in 2018

      Die größen Cybersecurity-Verletzungen in 2018

      Unter dem Radar - die Zukunft von unentdeckter Malware

      Unter dem Radar – die Zukunft von unentdeckter Malware

      Ransomware ist auf dem Rückzug, dafür drohen neue Gefahren wie Emotet, BEC und Cryptojacking

      Ransomware ist auf dem Rückzug, dafür drohen neue Gefahren wie Emotet, BEC und Cryptojacking

    Security

    • Cybersicherheit neu denken
      Cybersicherheit neu denken
    • CrowdStrike schützt das Formel-1-Team von Mercedes-AMG Petronas Motorsport vor Cyberangriffen
      CrowdStrike schützt das Formel-1-Team von Mercedes-AMG Petronas Motorsport vor Cyberangriffen
    • Emotet: G DATA erklärt die Allzweckwaffe des Cybercrime
      Emotet: G DATA erklärt die Allzweckwaffe des Cybercrime

    Kommunikation

    • Prognose: Diese 6 Trends werden sich auf die digitale Transformation 2019 auswirken
      Prognose: Diese 6 Trends werden sich auf die digitale Transformation 2019 auswirken
    • Digitales Eigentum 2019: 5 Experten über die DSGVO, den Upload-Filter und das Zeitalter der digitalen Privatsphäre
      Digitales Eigentum 2019: 5 Experten über die DSGVO, den Upload-Filter und das Zeitalter der digitalen Privatsphäre
    • Das ist neu im Digitaljahr 2019
      Das ist neu im Digitaljahr 2019

    Cloud

    • Auch die Roboter werden jetzt schlau
      Auch die Roboter werden jetzt schlau
    • Cloud-fähiger Archivspeicher auf Basis von Blockchain: METRO und Deepshore erreichen wichtigen Meilenstein
      Cloud-fähiger Archivspeicher auf Basis von Blockchain: METRO und Deepshore erreichen wichtigen Meilenstein
    • CIDEON erweitert das Portfolio von United VARs, der führenden Allianz von SAP-Lösungsanbietern
      CIDEON erweitert das Portfolio von United VARs, der führenden Allianz von SAP-Lösungsanbietern

    Newsletter abonnieren

    Unser Newsletter informiert Sie kompakt über die wichtigsten Branchen-Nachrichten der Woche.
    Eine Abmeldung ist jederzeit möglich. Melden Sie sich jetzt an:

    Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Rechenzentrum

    • Auch die Roboter werden jetzt schlau
      Auch die Roboter werden jetzt schlau
    • Cloud-fähiger Archivspeicher auf Basis von Blockchain: METRO und Deepshore erreichen wichtigen Meilenstein
      Cloud-fähiger Archivspeicher auf Basis von Blockchain: METRO und Deepshore erreichen wichtigen Meilenstein
    • CIDEON erweitert das Portfolio von United VARs, der führenden Allianz von SAP-Lösungsanbietern
      CIDEON erweitert das Portfolio von United VARs, der führenden Allianz von SAP-Lösungsanbietern

    Arbeitsplatz

    • Mit Virtual Machining rund 25% kürzere Durchlaufzeiten
      Mit Virtual Machining rund 25% kürzere Durchlaufzeiten
    • Umfrage „Roboter in der Arbeitswelt“: Mehrheit der Bundesbürger ist in altem Denken gefangen
      Umfrage "Roboter in der Arbeitswelt": Mehrheit der Bundesbürger ist in altem Denken gefangen
    • TP-Link auf der CES 2019: Alles wird Mesh
      TP-Link auf der CES 2019: Alles wird Mesh

    Whitepaper Downloads

    • Eine Event-Streaming-Plattform als zentrales Nervensystem
      Eine Event-Streaming-Plattform als zentrales Nervensystem
    • So wirkt sich die Digitalisierung auf das Controlling aus
      So wirkt sich die Digitalisierung auf das Controlling aus
    • Webanwendungen: Hauptziel für Cyberangriffe
      Webanwendungen: Hauptziel für Cyberangriffe

    Menü

    • Home
    • Cloud
    • Security
    • Rechenzentrum
    • Kommunikation
    • Arbeitsplatz
    • Whitepaper
    • Veranstaltungen

    Service

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN-Portale

    • IT-Cloud.today
    • IT-Outsourcing.today
    • ITSicherheit.today
    • Virtualisierung.today
    • Datenmanagement.today
    • Mobile-Computing.today

    Eine Marke von

    BTN Logo
    © 2018 IT-Management.today | All Rights Reserved
    Diese Website benutzen Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.Akzeptieren