Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Falsche Web-Zertifikate

12.09.2018

Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen.


Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter www.sit.fraunhofer.de/dvpp .

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL.

Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen.

Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation.

Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp . Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Wissenschaftliche Ansprechpartner:

Dr. Haya Shulman, Prof. Michael Waidner

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT
Weitere Informationen:
http://www.sit.fraunhofer.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Textilherstellung für Weltraumantennen startet in die Industrialisierungsphase
28.05.2020 | Fraunhofer-Institut für Silicatforschung ISC

nachricht 3D-Gebärdensprach-Avatar als Sprachassistent zur automatisierten Gebärdenübersetzung
28.05.2020 | Universität Augsburg

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Neuartiges Covid-19-Schnelltestverfahren auf Basis innovativer DNA-Polymerasen entwickelt

Eine Forschungskooperation der Universität Konstanz unter Federführung von Professor Dr. Christof Hauck (Fachbereich Biologie) mit Beteiligung des Klinikum Konstanz, eines Konstanzer Diagnostiklabors und des Konstanzer Unternehmens myPOLS Biotec, einer Ausgründung aus der Arbeitsgruppe für Organische Chemie / Zelluläre Chemie der Universität Konstanz, hat ein neuartiges Covid-19-Schnelltestverfahren entwickelt. Dieser Test ermöglicht es, Ergebnisse in der Hälfte der Zeit zu ermitteln – im Vergleich zur klassischen Polymerase-Ketten-Reaktion (PCR).

Die frühe Identifikation von Patienten, die mit dem neuartigen Coronavirus (SARS-CoV-2) infiziert sind, ist zentrale Voraussetzung bei der globalen Bewältigung...

Im Focus: Textilherstellung für Weltraumantennen startet in die Industrialisierungsphase

Im Rahmen des EU-Projekts LEA (Large European Antenna) hat das Fraunhofer-Anwendungszentrum für Textile Faserkeramiken TFK in Münchberg gemeinsam mit den Unternehmen HPS GmbH und Iprotex GmbH & Co. KG ein reflektierendes Metallnetz für Weltraumantennen entwickelt, das ab August 2020 in die Produktion gehen wird.

Beim Stichwort Raumfahrt werden zunächst Assoziationen zu Forschungen auf Mond und Mars sowie zur Beobachtung ferner Galaxien geweckt. Für unseren Alltag sind...

Im Focus: Biotechnologie: Enzym setzt durch Licht neuartige Reaktion in Gang

In lebenden Zellen treiben Enzyme biochemische Stoffwechselprozesse an. Auch in der Biotechnologie sind sie als Katalysatoren gefragt, um zum Beispiel chemische Produkte wie Arzneimittel herzustellen. Forscher haben nun ein Enzym identifiziert, das durch die Beleuchtung mit blauem Licht katalytisch aktiv wird und eine Reaktion in Gang setzt, die in der Enzymatik bisher unbekannt war. Die Studie ist in „Nature Communications“ erschienen.

Enzyme – in jeder lebenden Zelle sind sie die zentralen Antreiber für biochemische Stoffwechselprozesse und machen dort Reaktionen möglich. Genau diese...

Im Focus: Biotechnology: Triggered by light, a novel way to switch on an enzyme

In living cells, enzymes drive biochemical metabolic processes enabling reactions to take place efficiently. It is this very ability which allows them to be used as catalysts in biotechnology, for example to create chemical products such as pharmaceutics. Researchers now identified an enzyme that, when illuminated with blue light, becomes catalytically active and initiates a reaction that was previously unknown in enzymatics. The study was published in "Nature Communications".

Enzymes: they are the central drivers for biochemical metabolic processes in every living cell, enabling reactions to take place efficiently. It is this very...

Im Focus: Innovative Sensornetze aus Satelliten

In Würzburg werden vier Kleinst-Satelliten auf ihren Start vorbereitet. Sie sollen sich in einer Formation bewegen und weltweit erstmals ihre dreidimensionale Anordnung im Orbit selbstständig kontrollieren.

Wenn ein Gegenstand wie der Planet Erde komplett ohne tote Winkel erfasst werden soll, muss man ihn aus verschiedenen Richtungen ansehen und die...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Gebäudewärme mit "grünem" Wasserstoff oder "grünem" Strom?

26.05.2020 | Veranstaltungen

Dresden Nexus Conference 2020 - Gleicher Termin, virtuelles Format, Anmeldung geöffnet

19.05.2020 | Veranstaltungen

Urban Transport Conference 2020 in digitaler Form

18.05.2020 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Wie sich Nervenzellen zum Abruf einer Erinnerung gezielt reaktivieren lassen

29.05.2020 | Biowissenschaften Chemie

Wald im Wandel

29.05.2020 | Agrar- Forstwissenschaften

Schwarzer Stickstoff: Bayreuther Forscher entdecken neues Hochdruck-Material und lösen ein Rätsel des Periodensystems

29.05.2020 | Materialwissenschaften

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics