alphaspirit - Fotolia

Schlüssel und Zertifikate: Was wir aus 2015 für 2016 lernen sollten

Die Liste mit Sicherheitsvorfällen ist lang, die 2015 auf nicht vertrauenswürdige Zertifikate zurückgingen. Wir sollten daraus für 2016 lernen.

Im ersten Artikelteil haben wir uns damit beschäftig, inwieweit die Vorhersagen für 2015 tatsächlich eingetreten sind. Angriffe mit gefälschten Zertifikaten und Schlüsseln hatten eine Vielzahl von Konsequenzen, darunter Phishing, MITM-Attacken, Auswirkungen auf Fahrzeug-Apps, Kühlschränke und mehr. 2016 darf der Schutz von Schlüsseln und Zertifikaten nicht mehr nur als betriebliches Problem gelten – er muss als Priorität für die Sicherheit betrachtet werden

Wenn Unternehmen die Verwendung ihrer Schlüssel und Zertifikate zur Kommunikation, Authentifizierung und Autorisierung nicht sicher gestalten können, wird sie der daraus entstehende Vertrauensverlust Kunden und potenziell ihr Geschäft kosten.

Folgend finden Sie eine Auswahl aufsehenerregender Sicherheitsvorfälle, die Bedrohungsforscher 2015 verfolgt haben:

Gogo führt Man-in-the-Middle-Angriffe (MITM) durch
Zu Jahresbeginn 2015 entdeckte eine Sicherheitstechnikerin von Google Chrome, dass Gogo Inflight Internet gefälschte Google-Zertifikate ausstellte. Das Unternehmen gab an, auf diese Weise Online-Videostreaming verhindern zu wollen, doch unter dem Strich führte es damit MITM-Angriffe gegen Gogo-Nutzer durch.

Lenovo vorinstalliert die Malware Superfish auf seinen Notebooks
Lenovo stellte fest, dass sich ein auf seinen Laptops vorinstalliertes Adware-Programm als Root-CA im Zertifikatsspeicher des Geräts verankerte, was MITM-Angriffe ermöglichte.

Google und Mozilla werfen das CNNIC raus
Google entdeckte für mehrere seiner Domains unautorisierte digitale Zertifikate, die das CNNIC ausgestellt hatte, die wichtigste Zertifzierungsstelle Chinas, die der Regierung untersteht. Damit waren CNNIC-Zertifikate nicht mehr vertrauenswürdig und anfällig für Angriffe. Google blockte daraufhin alle von der CNNIC autorisierten Domains, und Mozilla tat kurze Zeit später das Gleiche. Eine auf der Black Hat 2015 durchgeführte Umfrage ergab, dass IT-Sicherheitsfachleute zwar die Risiken kennen, die mit nicht vertrauenswürdigen Zertifikaten wie denen des CNNIC einhergehen, jedoch nichts dagegen unternehmen.

St. Louis Federal Reserve Bank gehackt
Die US-Bank entdeckte, dass Hacker ihre Domain Name Server gekapert hatten. Auf diese Weise gelang es den Angreifern, die Nutzer von Online-Suchdiensten der Bank auf gefälschte Websites umzuleiten, die sie eingerichtet hatten.

Neue SSL/TLS-Sicherheitslücke Logjam offenbart Schwächen bei der Verschlüsselung
Logjam machte eine Schwäche im Diffie-Hellman-Schlüsselaustausch-Algorithmus deutlich, der es Protokollen wie HTTPS, SSH oder Ipsec erlaubt, einen gemeinsamen Schlüssel für die Kommunikationspartner zu vereinbaren und eine sichere Verbindung aufzubauen. Logjam, von Forschern aus dem Hochschulbereich entdeckt, macht durch Herunterhandeln anfälliger TLS-Verbindungen MITM-Angriffe möglich.

GM OnStar und weitere Fahrzeug-Apps gehackt
Einem Sicherheitsforscher gelang es, das Kommunikationssystem OnStar von General Motors auszunutzen, um GM-Autos zu öffnen, zu verriegeln und den Motor zu starten und zu stoppen. Möglich wurde dies, weil die GM-App Sicherheitszertifikate nicht richtig validierte. Mithilfe eines billigen, selbstgemachten WLAN-Hotspots, der die Befehle abfing, die vom Smartphone des Nutzers an den Wagen geschickt wurden, konnten Hacker in das anfällige System des Fahrzeugs einbrechen. So übernahmen sie die komplette Kontrolle und konnten sich ohne Einschränkung als Fahrer ausgeben. Ähnliche Schwachstellen ermöglichten es, sich in iOS-Anwendungen für BMW, Mercedes und Chrysler einzuhacken.

Große CAs (Certificate Authority, Zertifizierungsstelle) stellen kompromittierte Zertifikate für betrügerische Phishing-Websites aus
Netcraft veröffentlichte Untersuchungen, wonach Sicherheitsforscher des Unternehmens gefälschte Banken-Websites gefunden hatten, die domain-validierte SSL-Zertifikate nutzten, ausgestellt von Symantec, Comodo und GoDaddy.

Samsungs Smart-Kühlschrank via GMail angreifbar
Eine Sicherheitslücke in Samsungs smarten IoT-Kühlschränken gab Hackern die Möglichkeit, über MITM-Angriffe GMail-Logindaten zu kompromittieren, weil der Kühlschrank nicht in der Lage war, SSL-Zertifikate zu validieren.

Symantec entlässt Mitarbeiter, die HTTPS-Zertifikate für gefälschte Google-Sites ausstellten
Mehrere Mitarbeiter von Symantec wurden entlassen, weil sie unautorisierte Zertifikate ausgestellt hatten, die es ermöglichten, HTTPS-Google-Sites zu fälschen. Entdeckt wurden diese Zertifikate vom Googles Certificate Transparency Project.

Angriffs-Timeline 2015: Die Attacken im Überblick.

Diese Liste von Angriffen mit gestohlenen, kompromittierten und/oder ungeschützten kryptographischen Schlüsseln und digitalen Zertifikaten ist lang. Sie wirft ein Schlaglicht auf ein breites Spektrum potenzieller Folgen von Angriffen auf das Vertrauenssystem. Dabei ist die Liste bei weitem nicht vollständig. Denn viele solche Angriffe werden erst gar nicht aufgedeckt: Cyberkriminelle nutzen Schlüssel und Zertifikate, um Sicherheitskontrollen zu umgehen und ihre Aktionen zu tarnen.

Was Unternehmen daraus lernen sollten

Unternehmen müssen sich bewusst machen, dass das Management von Schlüsseln und Zertifikaten nicht nur eine betriebliche Angelegenheit ist, sondern eine entscheidende Voraussetzung zum Schutz ihrer Netzwerke, Daten und vertrauensvollen Beziehungen zu Kunden und Partnern.

„Unternehmen müssen sich bewusst machen, dass das Management von Schlüsseln und Zertifikaten nicht nur eine betriebliche Angelegenheit ist.“

Kevin Bocek, Venafi

xxxx

Erschwerend kommt hinzu, dass selbst die meisten Global-5000-Unternehmen blind den Schlüsseln und Zertifikaten in ihren Netzwerken vertrauen und Sicherheitskontrollen anwenden, die diese Verschlüsselungskomponenten per se als vertrauenswürdig betrachten.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösungs an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PKI und digitale Zertifikate

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close