Abo
  • Services:
Anzeige
BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit.
BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit. (Bild: MelVic/Wikimedia Commons/CC by-sa 3.0)

HTTPS: BGP-Angriff gefährdet TLS-Zertifikatssystem

BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit.
BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit. (Bild: MelVic/Wikimedia Commons/CC by-sa 3.0)

Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar - beispielsweise mittels des Routingprotokolls BGP.

Anzeige

TLS-Zertifikate sind ein wichtiger Baustein für verschlüsselte Verbindungen im Netz. Wer eine HTTPS-Seite betreibt, muss sich hierfür ein Zertifikat von einer anerkannten Zertifizierungsstelle ausstellen lassen. Doch die Prüfung, wer berechtigt ist, ein Zertifikat zu erhalten, ist äußerst fragil.

Prüfung über E-Mail, Webseiten oder DNS-Einträge

Es gibt verschiedene Wege, mit denen Zertifikatsaussteller prüfen, ob der Käufer eines Zertifikats der legitime Inhaber einer Domain ist. Häufig wird über eine E-Mail an Adressen mit den Prefixes webmaster@, hostmaster@ oder ähnlichen Adressen der Inhaber geprüft. Schon das führte in der Vergangenheit zu Ärger. Andere Zertifizierungsstellen erwarten, dass man eine Testdatei über den Webserver ausliefert oder einen entsprechenden DNS-Eintrag konfiguriert.

Allen diesen Möglichkeiten ist gemeinsam, dass sie selbst nicht kryptographisch abgesichert sind. Die Zertifizierungsstellen vertrauen darauf, dass eine Domain von dessen legitimem Besitzer kontrolliert wird. Dadurch ergeben sich fast zwangsläufig Angriffspunkte.

Auf eine Möglichkeit, diese Domainverifizierung anzugreifen, wies Artyom Gavrichenkov von der Firma Qrator Labs auf der Black-Hat-Konferenz hin: Manipulationen im Border Gateway Protocol (BGP). Dieses Routingprotokoll wird im Internet eingesetzt, um das Routing zwischen verschiedenen Providern zu organisieren. Das Problem: BGP ist praktisch nicht auf Sicherheit ausgelegt. Manipulationen sind sehr einfach möglich, ein Provider kann einem anderen Provider schlicht über das Protokoll mitteilen, dass er ab sofort für einen bestimmten IP-Netzbereich zuständig ist.

BGP-Knoten in der Nähe einer Zertifizierungsstelle

Um einen Angriff durchzuführen, muss ein Angreifer idealerweise einen BGP-Knoten in der Nähe einer beliebigen Zertifizierungsstelle kontrollieren. Es gibt Hunderte unterschiedliche Anbieter von TLS-Zertifikaten, die weltweit verteilt sind. Mittels BGP versucht der Angreifer, das Netz der Zertifizierungsstelle davon zu überzeugen, den Traffic für die IP des Opfers auf sich selbst umzuleiten. Anschließend kann der Angreifer beispielsweise über HTTP beliebige Daten ausliefern und einen Verifizierungsvorgang durchlaufen.

Gavrichenkovs Firma Qrator hat sich darauf spezialisiert, Auffälligkeiten im BGP-Traffic zu analysieren. Versucht ein Angreifer, global ein bestimmtes Netz mittels BGP-Angriffen umzurouten, fällt dies häufig auf. Im Fall des Angriffs auf die Zertifizierungsstelle ist aber nur eine lokal begrenzte Manipulation notwendig. Es ist sehr wahrscheinlich, dass der Betreiber des angegriffenen Netzes nie von dieser Manipulation erfährt.

Auf Nachfrage erklärte Gavrichenkov auf Twitter, dass er versucht hatte, diesen Angriff praktisch durchzuführen, aber letztendlich beim Bezahlvorgang für das Zertifikat abgebrochen hat. Es ist also davon auszugehen, dass dieser Angriff durchführbar ist. Bekanntgeworden sind derartige Angriffe bislang nicht.

HPKP und Certificate Transparency helfen begrenzt

Zumindest teilweise Abhilfe schaffen verschiedene Technologien, die das Zertifikatssystem stärken. Dazu gehören HTTP Public Key Pinning /HPKP und das von Google entwickelte Certificate Transparency. Key Pinning führt dazu, dass ein Angreifer mit einem falsch ausgestellten Zertifikat lediglich die erste Verbindung zu einem HTTPS-Server angreifen kann, anschließend speichert der Browser das legitime Zertifikat. Certificate Transparency ist ein globales Log von Zertifikaten und könnte helfen, dass derartige Manipulationen leichter auffallen. Perfekt sind beide Lösungen nicht. Die Absicherung von Zertifikaten mittels DANE über DNSSEC wird immer wieder vorgeschlagen, allerdings gibt es einige Zweifel an der Umsetzbarkeit.

Die Prüfung der Inhaber von Domains sicherer zu gestalten, ist nicht einfach. Die Ausstellung von Zertifikaten komplexer zu machen, widerspricht dem Ziel, die Zertifikatsausstellung zu erleichtern, um verschlüsselte Verbindungen zum Standard zu machen. Im Moment scheint eine Lösung für dieses Problem alles andere als einfach.


eye home zur Startseite
Popkornium18 09. Aug 2015

Theoretisch ist es möglich, aber einen BGP Knoten kontrollieren? Außer für Geheimdienste...

negecy 07. Aug 2015

Eben gerade nicht! Ich bin absolut nicht der Meinung, dass alles schnell und...



Anzeige

Stellenmarkt
  1. DENIOS AG, Bad Oeynhausen
  2. DIRINGER & SCHEIDEL GmbH & Co. Beteiligungs KG, Mannheim
  3. SQS Software Quality Systems AG, deutschlandweit, Köln, Frankfurt, Hamburg, Wolfsburg, München
  4. Statistisches Bundesamt, Wiesbaden


Anzeige
Spiele-Angebote
  1. 109,99€ mit Vorbesteller-Preisgarantie
  2. 69,99€ mit Vorbesteller-Preisgarantie
  3. 8,25€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. Adobe

    Die Flash-Ära endet 2020

  2. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  3. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  4. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  5. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  6. Armatix

    Smart Gun lässt sich mit Magneten hacken

  7. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  8. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  9. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  10. Quantengatter

    Die Bauteile des Quantencomputers



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Porsche Design Huaweis Porsche-Smartwatch kostet 800 Euro
  2. Smartphone Neues Huawei Y6 für 150 Euro bei Aldi erhältlich
  3. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt

Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

48-Volt-Systeme: Bosch setzt auf Boom für kompakte Elektroantriebe
48-Volt-Systeme
Bosch setzt auf Boom für kompakte Elektroantriebe
  1. Elektromobilität Staatliche Finanzhilfen elektrisieren Norwegen
  2. Elektromobilität Shell stellt Ladesäulen an Tankstellen auf
  3. Ifo-Studie Autoindustrie durch Verbrennungsmotorverbot in Gefahr

  1. Re: Endet damit auch Adobe Air?

    MESH | 04:25

  2. Re: Panikmache

    M.P. | 04:19

  3. Re: Ich verstehe dieses Urteil nicht

    Sharra | 04:04

  4. Glückwunsch Junge Union

    prody0815 | 04:01

  5. Und ich vermisse das Mediacenter!

    1st1 | 03:29


  1. 21:02

  2. 18:42

  3. 15:46

  4. 15:02

  5. 14:09

  6. 13:37

  7. 13:26

  8. 12:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel