Ver(Miss)Trauen im Web?

Ein Thema unserer internationalen, Anfang Februar in Moskau abgehaltenen Presse-Tour war das schwindende Vertrauen in das World Wide Web, wobei wir auch die Möglichkeit einer „Untergrabung“ von Zertifizierungsstellen und die Auswirkungen missbräuchlich genutzter digitaler Zertifikate diskutierten.

Unsere Vermutung gründete sich teilweise auf den Missbrauch von Vertrauen mit Hilfe der gestohlenen digitalen Stuxnet-Zertifikate, der von Kaspersky Lab beobachtet und unterbunden wurde.

Dieser unselige Moment ist nun früher eingetreten als wir wollten. In der vergangenen Woche wurde ein weiteres konkretes Beispiel für eben jene Vertrauensbasis im Web durch die Finalkoordination von Bestrebungen zwischen einer kompromittierten Zertifizierungsstelle und Providern von Webbrowsern erschüttert. Die kompromittierte Zertifizierungsstelle und die Browser-Entwickler mussten einen Satz digitaler Zertifikate für hochwertige Websites, die Angreifer in betrügerischer Absicht für ihre eigenen Zwecke erstellt hatten, auf eine Blacklist setzen. Als Resultat setzten die Angreifer aufgrund der Versicherung der Zertifizierungsstelle die Glaubwürdigkeit von einigen der größten Webauftritte voraus. In einem kurzen Statement beschrieb Mozilla die Konsequenzen: „Die Nutzer in einem infizierten Netzwerk könnten auf Seiten, welche die betrügerischen Zertifikate verwenden, weitergeleitet werden, und diese fälschlicherweise für legitime Seiten halten. Auf diese Weise irregeführt, könnten sie dazu gebracht werden, persönliche Daten wie ihren Benutzernamen oder Passwörter preiszugeben, oder – in dem Glauben, dass er von einer vertrauenswürdigen Seite stammt – auch Schadcode auf ihren Rechner zu laden.“

Was bedeutet das für Sie? Okay, hier ein kurzer Überblick über einige der betroffenen Websites: 

login.live.com 

mail.google.com 

www.google.com 

login.yahoo.com (3 Zertifikate) 

login.skype.com 

addons.mozilla.org
„Global Trustee“

In einem hypothetischen Szenario hätten Sie eine E-Mail mit einem Link erhalten, den Sie angeklickt hätten, oder Ihr Browser wäre auf etwas, was eine dieser Seiten zu sein scheint, weitergeleitet worden. Der Browser weist die Seite als vertrauenswürdig aus, so dass Sie sich mit Ihrem Benutzernamen und Passwort einloggen. Aus irgendeinem Grund werden Sie umgeleitet und landen wieder bei dem Login dieser Seite. An diesem Punkt wäre ein Teil Ihrer Online-Identität und der Zugriff auf Ihr E-Mail- oder IM-Account von einem Betrüger kompromittiert worden – wobei es sich auch hier wieder um eine rein hypothetische Annahme handelt.

Infolge dieses Ereignisses wurde im Rahmen einer längeren Rezension über die technischen Aspekte des Zwischenfalls ein crlwatch Projekt angekündigt.
Mit dem crlwatch Projekt selbst ist ein Instrument geschaffen worden, mit dem sich die Ungültigerklärung von Zertifikation als Reaktion von Verstößen wie dem beschriebenen überwachen lässt.

Während ich noch an diesem Blogpost schreibe, werden weitere Infos zur Verfügung gestellt. Sobald mehr Details eingetroffen sind, wird er auf den neuesten Stand gebracht.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.