Presseportal online

Veröffentlichen Sie Ihre Pressemitteilung über Connektar.de

Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

Man braucht nicht mehr als ein Laptop und eine Internetverbindung

BildEin Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter www.sit.fraunhofer.de/dvpp.

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Verantwortlicher für diese Pressemitteilung:

Fraunhofer-Institut für Sichere Informationstechnologie
Herr Oliver Küch
Rheinstraße 75
64295 Darmstadt
Deutschland

fon ..: +49 6151 869-213
web ..: http://www.sit.fraunhofer.de
email : E-Mail-Adresse verborgen; JavaScript benötigt

Die Fraunhofer-Gesellschaft ist die führende Organisation für angewandte Forschung in Europa. Unter ihrem Dach arbeiten 67 Institute und Forschungseinrichtungen an Standorten in ganz Deutschland. 24.000 Mitarbeiterinnen und Mitarbeiter bearbeiten das jährliche Forschungsvolumen von mehr als 2,1 Milliarden Euro. Davon fallen über 1,8 Milliarden Euro auf den Leistungsbereich Vertragsforschung. Über 70 Prozent dieses Leistungsbereichs erwirtschaftet die Fraunhofer-Gesellschaft mit Aufträgen aus der Industrie und mit öffentlich finanzierten Forschungsprojekten. Die internationale Zusammenarbeit wird durch Niederlassungen in Europa, Nord- und Südamerika sowie Asien gefördert.

Pressekontakt:

Fraunhofer-Institut für Sichere Informationstechnologie
Herr Oliver Küch
Rheinstraße 75
64295 Darmstadt

fon ..: +49 6151 869-213
web ..: http://www.sit.fraunhofer.de
email : E-Mail-Adresse verborgen; JavaScript benötigt

11. September 2018  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Medien  |  Schlagwörter: , , , , , , , , , , ,

Agenda 2011-2012: Künstliche Intelligenz – ein großes kontroverses Thema

Menschen können das Gelesene in einen großen Kontext stellen, während künstliche Intelligenz (KI) eher ein exaktes Recheninstrument ist.

29. Juni 2018  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Politik  |  Schlagwörter: , , , , , , , , ,

Windows 10 für Senioren – leicht verständliches Lernbuch für PC-Einsteiger, komplett in Farbe

Ob Computer-Neuling oder PC-Auffrischer: Mit diesem Buch lässt sich die Anwendung von Windows 10 mühelos erlernen

16. Mai 2018  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Medien  |  Schlagwörter: , , , , , , , , , ,

Speicherplatz auf Daten- und File-Server gewinnen mit FILEminimizer Server

Speicherplatz auf dem Server einsparen mit optimierten Dateien.
Es ist keine ZIP-Komprimierung, dass heisst die Dateien werden optimiert bzw. verkleinert und benötigen keine Dekomprimierung.

3. Mai 2018  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Medien  |  Schlagwörter: , , , , , , , , , , , , , , , , , , , , , ,

Die Elektronik und Smartphone Zubehör Welt des Nerd-Butlers ist online

Entdecke die neue Nerd-Butler online Elektro und Smartphone Zubehör Welt und finde deine heissen Deals aus der ganzen Welt zu Tiefstpreisen. Natürlich mit kostenloser Lieferung.

19. April 2018  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Medien  |  Schlagwörter: , , , , , , , , , , , , , , , , , ,

Login VSI verkündet kostenlose Meltdown/Spectre Emergency-Lizenz

Sicherheits-Patches für Meltdown und Spectre bergen erhebliche potenzielle Performance Risiken für Windows User Experience

17. Januar 2018  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Medien  |  Schlagwörter: , , , , , , , , , , , , ,

Hallo, kleiner Mensch! – Ratgeber ohne Rat zu geben

Luther regt die Leser in „Hallo, kleiner Mensch!“ dazu an, Kinder mit neuen Augen zu betrachten.

28. Dezember 2017  |  PM-Ersteller  |  Kein Kommentar
Kategorien: Gesellschaft  |  Schlagwörter: , , , , , , , , , , , , , , , , , ,