Code: Viele Web-Zertifikate sind manipulierbar (Symbolbild: Pixabay/Pexels)

Eine Schwachstelle in der Domänenvalidierung (DV) lässt sich gezielt manipulieren und gefährdet somit die Sicherheit beim Surfen. Ein Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat demonstriert, dass diese Vertrauenswürdigkeit bei Web-Zertifikaten des vertraunswürdigen SSL-/TLS-Protokolls auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden DV, um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die DV grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyber-Krimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten - zum Beispiel für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Haya Shulman geleitete Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch des Internets, es bildet die Domain-Namen auf Internetadressen ab. Cyber-Sicherheitsforscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die DV. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer - etwa auf nationaler Ebene - hätte ausnutzen können.

Nur Laptop und Internet nötig

Die Fraunhofer-Wissenschaftler konnten nun zum ersten Mal zeigen, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. "Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung", verdeutlicht Shulman die aktuelle Problemlage. Die deutschen Sicherheitsbehörden und Web-CAs wurden bereits informiert.

Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter http://sit.fraunhofer.de/dvpp . Die Darmstädter werden die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit in Toronto http://sigsac.org/ccs/CCS2018 im Oktober vorstellen.

http://sit.fraunhofer.de
http://sit.fraunhofer.de/dvpp



Der Online-Stellenmarkt für ICT Professionals