Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Falsche Web-Zertifikate

12.09.2018

Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen.


Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter www.sit.fraunhofer.de/dvpp .

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL.

Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen.

Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation.

Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp . Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Wissenschaftliche Ansprechpartner:

Dr. Haya Shulman, Prof. Michael Waidner

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT
Weitere Informationen:
http://www.sit.fraunhofer.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Vernetzte Produktion in Echtzeit: Deutsch-schwedisches Testbed geht in die zweite Phase
11.12.2019 | Fraunhofer-Institut für Produktionstechnologie IPT

nachricht Sensoraufkleber überwacht Lebensmittelproduktion
11.12.2019 | Ruhr-Universität Bochum

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Hochgeladenes Ion bahnt den Weg zu neuer Physik

In einer experimentell-theoretischen Gemeinschaftsarbeit hat am Heidelberger MPI für Kernphysik ein internationales Physiker-Team erstmals eine Orbitalkreuzung im hochgeladenen Ion Pr9+ nachgewiesen. Mittels einer Elektronenstrahl-Ionenfalle haben sie optische Spektren aufgenommen und anhand von Atomstrukturrechnungen analysiert. Ein hierfür erwarteter Übergang von nHz-Breite wurde identifiziert und seine Energie mit hoher Präzision bestimmt. Die Theorie sagt für diese „Uhrenlinie“ eine sehr große Empfindlichkeit auf neue Physik und zugleich eine extrem geringe Anfälligkeit gegenüber externen Störungen voraus, was sie zu einem einzigartigen Kandidaten zukünftiger Präzisionsstudien macht.

Laserspektroskopie neutraler Atome und einfach geladener Ionen hat während der vergangenen Jahrzehnte Dank einer Serie technologischer Fortschritte eine...

Im Focus: Highly charged ion paves the way towards new physics

In a joint experimental and theoretical work performed at the Heidelberg Max Planck Institute for Nuclear Physics, an international team of physicists detected for the first time an orbital crossing in the highly charged ion Pr⁹⁺. Optical spectra were recorded employing an electron beam ion trap and analysed with the aid of atomic structure calculations. A proposed nHz-wide transition has been identified and its energy was determined with high precision. Theory predicts a very high sensitivity to new physics and extremely low susceptibility to external perturbations for this “clock line” making it a unique candidate for proposed precision studies.

Laser spectroscopy of neutral atoms and singly charged ions has reached astonishing precision by merit of a chain of technological advances during the past...

Im Focus: Ultrafast stimulated emission microscopy of single nanocrystals in Science

The ability to investigate the dynamics of single particle at the nano-scale and femtosecond level remained an unfathomed dream for years. It was not until the dawn of the 21st century that nanotechnology and femtoscience gradually merged together and the first ultrafast microscopy of individual quantum dots (QDs) and molecules was accomplished.

Ultrafast microscopy studies entirely rely on detecting nanoparticles or single molecules with luminescence techniques, which require efficient emitters to...

Im Focus: Wie Graphen-Nanostrukturen magnetisch werden

Graphen, eine zweidimensionale Struktur aus Kohlenstoff, ist ein Material mit hervorragenden mechanischen, elektronischen und optischen Eigenschaften. Doch für magnetische Anwendungen schien es bislang nicht nutzbar. Forschern der Empa ist es gemeinsam mit internationalen Partnern nun gelungen, ein in den 1970er Jahren vorhergesagtes Molekül zu synthetisieren, welches beweist, dass Graphen-Nanostrukturen in ganz bestimmten Formen magnetische Eigenschaften aufweisen, die künftige spintronische Anwendungen erlauben könnten. Die Ergebnisse sind eben im renommierten Fachmagazin Nature Nanotechnology erschienen.

Graphen-Nanostrukturen (auch Nanographene genannt) können, je nach Form und Ausrichtung der Ränder, ganz unterschiedliche Eigenschaften besitzen - zum Beispiel...

Im Focus: How to induce magnetism in graphene

Graphene, a two-dimensional structure made of carbon, is a material with excellent mechanical, electronic and optical properties. However, it did not seem suitable for magnetic applications. Together with international partners, Empa researchers have now succeeded in synthesizing a unique nanographene predicted in the 1970s, which conclusively demonstrates that carbon in very specific forms has magnetic properties that could permit future spintronic applications. The results have just been published in the renowned journal Nature Nanotechnology.

Depending on the shape and orientation of their edges, graphene nanostructures (also known as nanographenes) can have very different properties – for example,...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Analyse internationaler Finanzmärkte

10.12.2019 | Veranstaltungen

QURATOR 2020 – weltweit erste Konferenz für Kuratierungstechnologien

04.12.2019 | Veranstaltungen

Die Zukunft der Arbeit

03.12.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Kein Seemannsgarn: Hochseeschifffahrt soll schadstoffärmer werden

11.12.2019 | Ökologie Umwelt- Naturschutz

Vernetzte Produktion in Echtzeit: Deutsch-schwedisches Testbed geht in die zweite Phase

11.12.2019 | Informationstechnologie

Verbesserte Architekturgläser durch Plasmabehandlung – Reinigung, Vorbehandlung & Haftungssteigerung

11.12.2019 | Architektur Bauwesen

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics