Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Falsche Web-Zertifikate

12.09.2018

Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen.


Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter www.sit.fraunhofer.de/dvpp .

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL.

Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen.

Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation.

Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp . Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Wissenschaftliche Ansprechpartner:

Dr. Haya Shulman, Prof. Michael Waidner

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT
Weitere Informationen:
http://www.sit.fraunhofer.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Sicherheitsanforderungen für Unternehmen steigen – so sieht eine moderne IT-Sicherheitsstrategie aus!
14.02.2020 | businessAD

nachricht Skyrmionen mögen es heiß – Spinstrukturen auch bei hohen Temperaturen steuerbar
13.02.2020 | Johannes Gutenberg-Universität Mainz

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Transparente menschliche Organe ermöglichen dreidimensionale Kartierungen auf Zellebene

Erstmals gelang es Wissenschaftlerinnen und Wissenschaftlern, intakte menschliche Organe durchsichtig zu machen. Mittels mikroskopischer Bildgebung konnten sie die zugrunde liegenden komplexen Strukturen der durchsichtigen Organe auf zellulärer Ebene sichtbar machen. Solche strukturellen Kartierungen von Organen bergen das Potenzial, künftig als Vorlage für 3D-Bioprinting-Technologien zum Einsatz zu kommen. Das wäre ein wichtiger Schritt, um in Zukunft künstliche Alternativen als Ersatz für benötigte Spenderorgane erzeugen zu können. Dies sind die Ergebnisse des Helmholtz Zentrums München, der Ludwig-Maximilians-Universität (LMU) und der Technischen Universität München (TUM).

In der biomedizinischen Forschung gilt „seeing is believing“. Die Entschlüsselung der strukturellen Komplexität menschlicher Organe war schon immer eine große...

Im Focus: Skyrmions like it hot: Spin structures are controllable even at high temperatures

Investigation of the temperature dependence of the skyrmion Hall effect reveals further insights into possible new data storage devices

The joint research project of Johannes Gutenberg University Mainz (JGU) and the Massachusetts Institute of Technology (MIT) that had previously demonstrated...

Im Focus: Skyrmionen mögen es heiß – Spinstrukturen auch bei hohen Temperaturen steuerbar

Neue Spinstrukturen für zukünftige Magnetspeicher: Die Untersuchung der Temperaturabhängigkeit des Skyrmion-Hall-Effekts liefert weitere Einblicke in mögliche neue Datenspeichergeräte

Ein gemeinsames Forschungsprojekt der Johannes Gutenberg-Universität Mainz (JGU) und des Massachusetts Institute of Technology (MIT) hat einen weiteren...

Im Focus: Making the internet more energy efficient through systemic optimization

Researchers at Chalmers University of Technology, Sweden, recently completed a 5-year research project looking at how to make fibre optic communications systems more energy efficient. Among their proposals are smart, error-correcting data chip circuits, which they refined to be 10 times less energy consumptive. The project has yielded several scientific articles, in publications including Nature Communications.

Streaming films and music, scrolling through social media, and using cloud-based storage services are everyday activities now.

Im Focus: Nanopartikel können Zellen verändern

Nanopartikel dringen leicht in Zellen ein. Wie sie sich dort verteilen und was sie bewirken, zeigen nun erstmals hochaufgelöste 3D-Mikroskopie-Aufnahmen an BESSY II. So reichern sich bestimmte Nanopartikel bevorzugt in bestimmten Organellen der Zelle an. Dadurch kann der Energieumsatz in der Zelle steigen. „Die Zelle sieht aus wie nach einem Marathonlauf, offensichtlich kostet es Energie, solche Nanopartikel aufzunehmen“, sagt Hauptautor James McNally.

Nanopartikel sind heute nicht nur in Kosmetikprodukten, sondern überall, in der Luft, im Wasser, im Boden und in der Nahrung. Weil sie so winzig sind, dringen...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Chemnitzer Linux-Tage am 14. und 15. März 2020: „Mach es einfach!“

12.02.2020 | Veranstaltungen

4. Fachtagung Fahrzeugklimatisierung am 13.-14. Mai 2020 in Stuttgart

10.02.2020 | Veranstaltungen

Alternative Antriebskonzepte, technische Innovationen und Brandschutz im Schienenfahrzeugbau

07.02.2020 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

„Kiss and Run“ zur Abfallverwertung in der Zelle

14.02.2020 | Biowissenschaften Chemie

Kurze Impulse mit großer Wirkung

14.02.2020 | Biowissenschaften Chemie

ESO-Teleskop sieht die Oberfläche des schwächelnden Beteigeuze

14.02.2020 | Physik Astronomie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics