So, 18. November 2018

Schwachstelle im Netz

12.09.2018 12:32

Forscherteam erstellte falsche Webzertifikate

Forscher aus Darmstadt haben eine Sicherheitslücke im Internet offengelegt, durch die in vermeintlich geschützten Online-Verbindungen wertvolle Daten wie Passwörter abgegriffen werden können. Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Websites als echte ausgeben könnten.

Der Angriff sei möglich geworden, indem eine Schwachstelle in der Domainänvalidierung ausgenutzt werden konnte, erklärten die Forscher. Sie forderten, die Sicherheit der Internetinfrastruktur dringend zu verbessern. Webzertifikate sollen eigentlich vertrauenswürdige Seiten auszeichnen. Sie bilden die Grundlage des sogenannten SSL-/TLS-Protokolls, das die meisten Internetseiten schützt. Die Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Gängige Web-CAs verwenden demnach eine Methode namens Domain Validation, um die Identität einer Website zu verifizieren, bevor sie ein entsprechendes Zertifikat ausstellen.

Mit der Aktion sei nun gezeigt worden, dass die Domain Validation grundsätzlich fehlerhaft sei. „Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben“, hieß es. Das sei besonders für Cyberkriminelle interessant. Sie könnten Angriffe auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten, beispielsweise für einen bekannten Online-Händler. Die Kriminellen müssten dann nur noch eine Website einrichten, „die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen“.

Nur Laptop und Internetverbindung für Angriff nötig
Eine besondere Ausrüstung sei für die Aktion der Forscher nicht nötig gewesen: „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung“ erklärte Haya Shulman vom Fraunhofer SIT. „Man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung.“ Die Schwachstelle sei zwar grundsätzlich bekannt gewesen - aber habe als in der Praxis kaum ausnutzbar gegolten.

Nach dem Angriff informierte das Fraunhofer SIT die deutschen Sicherheitsbehörden und Web-CAs. Zudem sei zur Abschwächung der Sicherheitslücke eine verbesserte Version der Domain Validation entwickelt worden.

 krone.at
krone.at

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
3 bis 4,3 Prozent mehr
Einigung bei Metaller-KV, Streiks abgewendet
Österreich
2:1 in Nordirland
Lazaro schießt Österreich in Minute 93 zum Sieg!
Fußball International
„Müssen jetzt handeln“
Macron und Merkel einig: EU steht am Scheideweg
Welt
Nations League
England nach 2:1 Gruppensieger, Kroatien steigt ab
Fußball International
Aus Gehege entkommen
Wilde Schweinejagd hielt Polizisten auf Trab
Niederösterreich
Unfassbare Wende
Hat Sporting-Boss brutale Attacke selbst geplant?
Fußball International
Mane in Afrika-Quali
Ex-Salzburger bricht nach Sieg in Tränen aus!
Fußball International

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.