Wenn legitime Zertifikate Malware verbreiten

Sicherheitsschwachstellen sind längst nicht der einzige Weg auf dem Angreifer ein System infizieren können. Es gibt Fälle, bei denen legitime Zertifikate Malware verbreitet haben, und das manchmal über Jahre hinweg. Wie so etwas funktioniert und welche Folgen das haben kann, dazu ein Beitrag von Sascha Dubbel, Senior Systems Engineer DACH/North bei Cylance:

»Die Grundaussage im Blogbeitrag von Venafi https://www.venafi.com/blog/astounding-persistence-abusive-certificates-malware <https://www.venafi.com/blog/astounding-persistence-abusive-certificates-malware> ist sicherlich, dass sowohl Benutzer als auch Sicherheitslösungen wie Antiviren-Scanner geneigt sind alle Skepsis über Bord zu werfen, wenn man ihnen ein gültiges Zertifikat vorlegt.

Tatsächlich dienen Vertrauensketten dazu sicherzustellen, dass die Person oder Organisation, die ein Zertifikat beantragt, auch verifiziert ist. Eine solche Kette erweitert sich dann zum Beispiel auf Ausweisdokumente. Rein technisch betrachtet kann man Zertifikate je nach Anwendungszweck unterschiedlich einsetzen um vertrauliche Kommunikation abzusichern.

Etwa, wenn man bei einer VPN-Verbindung den Verwender legitimieren will oder um darzustellen, dass ein Webserver von einer bestimmten Person oder Organisation betrieben wird.

Es klingt wie eine Binsenweisheit, stimmt aber trotzdem: absolute Sicherheit gibt es nicht. Leider garantiert auch ein Zertifikat nicht zwangsläufig Sicherheit. Das hat unterschiedliche Gründe:

  • (a) Zertifikate können gestohlen werden. Ein Beispiel ist die Diginotar-Datenschutzverletzung (über die unter anderen die Kollegen von heise security berichtet haben https://www.heise.de/security/meldung/Der-Diginotar-SSL-Gau-und-seine-Folgen-1423893.html). Das gilt insbesondere dann, wenn die Schlüssel nicht sicher aufgehoben sind. Dieser Bereich sollte also besondere Aufmerksamkeit genießen. Sind die Schüssel nicht ausreichend sicher verwahrt, kann ein Angreifer das Zielzertifikat für einen sogenannten Impersonation-Angriff verwenden. Hierbei gibt sich jemand anderer als eine Person oder ein Unternehmen aus, der er oder es nicht ist. Das kann die einem Opfer vertraute Hausbank sein, ein Telefonanbieter oder auch eine Social-Media-Plattform. Gerade Prominente werden regelmäßig Opfer solcher Angriffe. Man kann Ausweise stehlen und für illegitime Zwecke benutzen, nicht anders verhält es sich mit digitalen Zertifikaten.
  • (b) Ein Server, der gültig digital signiert eine sichere Verbindung anbietet, kann dennoch kompromittiert worden sein. Der Anbieter kann – unter Ausnahme von (a) – validiert werden, und die Verbindung selbst wird mithilfe einer mehr oder weniger starken Verschlüsselung gegen ein Ausspähen gesichert. Ob das hinter diesem Webserver liegende Computersystem selbst jedoch vertrauenswürdig ist, kann das Zertifikat nicht garantieren. So können der Server oder andere Backend-Systeme etwa aufgrund von bestehenden Schwachstellen oder nicht ausreichenden Sicherheitsvorkehrungen, wie beispielsweise dem Verwenden von Default-Passwörtern, bereits kompromittiert sein, oder ein Angreifer hat sogar bereits die Kontrolle über das gesamte Netz übernommen.
  • (c) Und auch das Verwenden von Zertifikaten bei der Softwareentwicklung schützt nicht zwangsläufig vor Manipulationen. Man kann mit Code-Signing-Zertifikaten zwar den Code signieren und vor nachträglicher Manipulation schützen. Was aber, wenn der Angreifer die Code-Basis bereits kompromittiert hat? So geschehen im Falle von Avast. Das Unternehmen hatte für rund einen Monat eine Version von Ccleaner mit einer Malware ausgeliefert, die im Installationspaket der Software versteckt war. Einer ordnungsgemäß signierten Version des betreffenden Programms versteht sich https://www.golem.de/news/ccleaner-avast-verteilt-malware-mit-optimierungsprogramm-1709-130119.html)
  • (d) Und schließlich lässt sich in vielen Fällen nicht gewährleisten, dass eine Verbindung vertraulich ist. Der Anteil an verschlüsselter Kommunikation hat deutlich zugenommen und steigt weiter. Nicht zuletzt vorangetrieben von Anbietern wie Google oder Gruppen wie https://encryptallthethings.net/ die eine vollumfängliche Verschlüsselung fordern. Etliche Anbieter von Netzwerk-basierten Sicherheitslösungen wie Next-Gen-Firewalls oder Proxies können dann allerdings in Unternehmensnetzwerken nicht mehr inhaltlich filtern. Gleiches gilt für die Netze von Providern, nicht nur in Ländern mit straffer Zensur. Vielfach werden Verbindungen bereits heute wie bei einem Man-in-the-Middle-Angriff terminiert und dem Endanwender neu verschlüsselt wieder zugeleitet. Nachdem die Inhalte gefiltert wurden.

Es ist für einen Anwender heute praktisch unmöglich geworden, sich sicher zu sein, dass die andere Seite der Kommunikation wirklich vertrauenswürdig ist. Anbieter können und müssen aber dafür sorgen, dass ihre privaten Schlüssel sicher aufgehoben sind. Ob eine Verbindung oder eine Software gültig signiert worden ist, sollte bei einer Security-Lösung allerdings kein Freifahrtschein sein. Wenn gängige Sicherheitslösungen einen Code als potenziell schädlich oder potenziell harmlos identifizieren, bedienen sie sich dabei in der Regel nur weniger Merkmale wie etwa der Signaturen von Zertifikaten. Darin liegt die grundsätzliche Schwäche solcher Lösungen, denn Angreifer haben Mittel und Wege solche Merkmale zu verändern. Neuartige Ansätze, die auf künstlicher Intelligenz und maschinellem Lernen im Speziellen basieren, gehen hier anders vor. Solche Lösungen wenden die KI direkt am Endpunkt an und berücksichtigen mehrere Millionen Merkmale, und lassen sich folglich nicht so leicht täuschen.«

 


 

SSL-Zertifikate: Wert des Sicherheitskennzeichens hängt vom Vertrauen in Zertifizierer ab

Digitale Zertifikate: täglich genutzt, kaum bekannt

Abgelaufene SSL-Zertifikate, die unterschätzte Gefahr

Kartenmanagement von HID Global und Zertifikate von SwissSign

Hohe Sicherheit leisten Zertifikate, keine Passwörter

Gefälschte digitale Zertifikate zur Signierung von Schadprogrammen

Vorausschauendes Risikomanagement mit ISO 9001:2015: Gefahr erkannt, Gefahr gebannt

Warum EV SSL nicht wegzudenken ist