Wieder gefälschte Google-Zertifikate - diesmal von Symantec

Der Suchmaschinenkonzern Google hat wieder einmal ein Zertifikat entdeckt, das von unbefugter Seite aus für seine Domains ausgestellt wurde. Ausgestellt wurde dieses beim Security-Dienstleister Symantec, der sich nun natürlich in seiner ... mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Hacker, Kryptographie, Code, Hex-Code Hacker, Kryptographie, Code, Hex-Code Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wir brauchen ein komplett neues System. Jede CA kann Zertifikate für jede Domain ausstellen und das gesamte System beruht nur auf Vertrauen.
 
@ESmazter: Egal was sie sich ausdenken, es kann letztlich immer nur auf Vertrauen beruhen.
 
@crmsnrzl: Da muss ich dir widersprechen. Man kann Systeme erstellen, die auf Kontrolle basieren. Dann ist Vertrauen unnötig.
 
@Scaver: Nenne ein Beispiel :)
 
@crmsnrzl: Hab ich geschrieben, dass man das noch erstellen (= entwickeln) muss oder dass es das schon gibt?
Zitat: "Man kann Systeme erstellen" heißt, dass es noch keines gibt. Also kann man auch kein Beispiel nennen.
Aber wo ein Wille, da ein Weg. Das System auf vertrauen ist nun mal einfacher. Ein System auf Kontrolle braucht wesentlich mehr Entwicklung und später neben vorhandenen Verständnis selbst beim Nutzer, auch stärkere technische Unterstützung.

Ein Beispiel ist die Entwicklung der Zugangskontrolle zu Webseiten, Diensten, Rechnern usw.
Früher gab es keine Sicherheiten. Technisch war nichts notwendig. Dann kamen einfache Passwörter und man musste etwas schaffen, dass dieses eine PW mit dem auf dem System gespeicherten abgleicht. Recht einfach auch damals schon. Heute multiple Accounts, multiple Methoden zur Authentifizierung vom einfachen PW oder PIN in Kombination mit nem Benutzernamen, Bildpasswörter bis hin zum Scan von Fingerabdrücken, der Iris und des ganzen Gesichtes (biometrische Daten).

Ähnlich wie bei den Türen. Ganz früher gab es keine Türen, dann einfache Türen die man nicht abschließen konnte. Dann ein einfach Riegel, dann ein Schloss mit einfachen Schlüsseln (Thema Schlüsselloch), dann kamen einfache Zylinderschlösser, dann sogenannte Sicherheitsschlösser mit einfachen Sicherheitsschlüssel, weiter über Sicherheitsschlüssel mit Elektronik (einfache Erkennung Schlüssel <-> Schloss), jetzt sogar in Kombination mit PIN, biometrische Erkennung, sogar schon Stimmerkennung usw.

Klar sind solche Sachen nicht 1:1 als Ersatz für SSL Zertifikate zu nehmen, aber die Entwicklung zeigt, dass es möglich ist, besser zu schützen und immer weniger Vertrauen notwendig ist... dafür aber auch mehr Aufwand bei der Entwicklung und auch bei der Nutzung.
 
@Scaver: Nach deiner Aussage: Es gibt bisher keine, du wüsstest auch keines, aber weißt genau das es möglich ist.
Mutige These.

Nein, der Haken liegt in einem "Detail", welches du ganz cool übergehst.
Sicherheitsschlüssel, PIN, biometrische Erkennung, Stimmenerkennung ...
Bei jedem Produkt, das du kaufst, musst du dem Hersteller vertrauen, dass er keine Backdoors etc. einbaut.

Selbst bei OpenSourceSoftware musst du letztlich darauf vertrauen, dass die Leute die sich den Quellcode ansehen, das auch gründlich tun und keine böswilligen Interessen verfolgen. Du hast zwar erfolgreich den Faktor Vertrauen auf eine größere, dafür aber unbekanntere und schwerer zur Rechenschaft zu ziehende Personengruppe umgelegt, aber dennoch basiert es auf Vertrauen.

Wenn du selbst in der Lage bist dies zu prüfen, rettet dich das zwar, aber was nützt es anderen? Die müssten dann wiederum dir vertrauen.

Wenn Person X sich dir gegenüber als Person X identifizieren will, dann musst du entweder ihr glauben, Person Y glauben die für sie bürgt, dem Personalausweis der vom Staat ausgestellt wurde glauben oder einen DNS-Test mit einer Datenbank abgleichen.
Letztlich vertraust du dabei aber wieder darauf, dass:
-Person X dich nicht anlügt
-Person Y dich nicht über Person X anlügt
-der Ausweis nicht gefälscht ist oder ein Beamter mit unter der Decke steckt
-kein Angestellter (oder Hacker) die Daten manipuliert hat und diese nicht schon von vornherein falsch eingegeben wurden, außerdem könnte das Ergebnis des DNS-Tests präpariert oder verfälscht worden sein.

Menschen sind korrumpierbar und nicht unfehlbar. Jedes System, in welchem Menschen involviert sind, ist es damit auch. Siehe Symantac.
Selbst wenn Menschen nicht direkt involviert sind, ist es durch Menschen erschaffen worden, wird von Menschen gewartet und von Menschen geschützt (in welcher Form auch immer) und ist damit auch kompromittierbar. Du vertraust darauf, dass diese Personen ihren Job in deinem Interesse erledigen.
 
Solange es https://Karl-Heinz-seine-tolle-neue-Hohmpage.de gibt, wird sich, aus Sicht der Nutzer, sowieso nichts dran ändern. Wikipedia, Google... oder eben besagter Karl-Heinz, läuft nur über HTTPs. Es ist also nur eine Frage der Zeit, oder es ist bereits passiert, dass das bei irgendwelchen Zahlungsdiensten, Online-Versandhandel oder Onlinebanking Seiten auch passiert und dann auch entsprechend ausgenutzt wird. Hinzu kommt hier auch noch, dass entweder der Nutzer sich bereits daran gewöhnt hat, und bei Warnungen die Seite automatisch trotzdem öffnet, oder Webbrowser die nur eine bescheidene Warnung ausgeben und/oder das laden der Seite trotzdem ermöglichen.
 
Schaut der private User überhaupt genau drauf was er eh schnellstens wegklickt? Ich rede hier nicht von Firmen, obwohl wir nach ein Rollout auch immer ein Zertifaktproblemme hatten (eigene Zertifikate) wurden nicht erkannt , mussten mehrmals bestätigt werden jedesmal (Sharepoint)
 
@Wlimaxxx: Im Anbetracht der Dinge die man heute alle weg klicken muss, kann man es niemanden verübeln den Mist gar nicht mehr zu lesen.
 
Kann mir einer erklären, was man damit eigentlich genau machen kann? Was nützt mir ein Zertifikat, welches auf Google.com ausgestellt ist? Dafür müsste ich doch Google erst mal gehacked bekommen, um meines dort gegen deren Zertifikat zu ersetzen? Und dann? Wenn ich soweit bin, komme ich doch eh an die Daten der User. Oder für Man-in-the-Middle-Attacken? Da ist die potentielle Gefahr doch sehr gering. Also was können normale Betrüger von Phishing-Mails, Viren, etc. damit genau anfangen?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen