CT-Protokolle nachdem falsch konfigurierten SSL-Zertifikaten durchsuchen
[ad_1]
Jüngste Untersuchungen nach sich ziehen gezeigt, wie Unternehmen für welcher Zurverfügungstellung von Sicherheitszertifikaten Fehler zeugen und Unternehmensinformationen versehentlich böswilligen Akteuren preisgeben können – im Gegensatz dazu dieser Tech-Tipp zeigt, wie man falsch konfigurierte Zertifikate erkennt, vorher sie Probleme verursachen können.
SSL/TLS-Zertifikate werden von Zertifizierungsstellen ausgestellt, um Browserverbindungen zu authentifizieren und zu sichern. Die Verschlüsselung stellt sicher, dass böswillige Akteure während dieser Browsersitzungen die Online-Kommunikation während welcher Übertragung nicht stehlen, belauschen oder zudecken können.
Unter einer Erforschung von extra 900 Mio. öffentlichen SSL/TLS-Zertifikaten und zugehörigen Ereignissen stellten Forscher von Detectify Labs Festtag, dass viele Zertifikate Informationen preisgeben, mit denen Angreifer die Angriffsfläche wiedergeben könnten, oder dass sie falsch konfiguriert waren, um sie auszunutzen. Domainbesitzer sollen ihre SSL-Zertifikate ständig hinauf Schwachstellen oder verdächtiges Verhalten beaufsichtigen, vorher sie von Angreifern missbraucht werden, sagt Fredrik Nordberg Almroth, Mitbegründer und Sicherheitsforscher für Detectify.
Verfolgen Sie falsch konfigurierte Zertifikate mit CT
Zertifikatstransparenz, ein offener Rahmen zu Gunsten von die Auditierung von Zertifikaten, ist eine Möglichkeit, Zertifikate zu finden, die unter Umständen zu viele Informationen preisgeben oder falsch konfiguriert wurden, sagt Almroth. Da CT-Logs publik zugänglich sind, können mit öffentlichen Suchwerkzeugen – wie dem Webinterface crt.sh oder Censys.io – Zertifikate und die darin enthaltenen Informationen abgefragt werden.
Tools wie crt.sh und Censys zuteil werden lassen es Domainbesitzern, nachdem einer bestimmten Domain zu suchen und verschiedene Subdomains und Email-Adressen zu vereinen, die mit welcher Domain verknüpft sind, sagt Almroth. Eine Möglichkeit, Tante und zögerlich signierte Zertifikate zu identifizieren, besteht darin, hinauf Censys Suchanfragen nachdem schwachen Hash-Algorithmen auszuführen.
„Es gibt mehrere Möglichkeiten, wie ein Angreifer öffentliche Informationen extra SSL/TLS-Zertifikate nutzen könnte, um die Angriffsfläche eines Unternehmens abzubilden, um zu verstehen, wo die Schwachstellen liegen“, fasst Almroth die Forschungsergebnisse des Teams zusammen.
Zertifikate enthalten zu viele Informationen
Die Forscher von Detectify Labs entdeckten, dass die „überwältigende Mehrheit welcher neu zertifizierten Domänen“ aussagekräftige Namen hatte, um potenziell sensible Informationen preiszugeben. Die Namen könnten einem Angreifer damit helfen, verschiedene Systeme und Anwendungen in welcher Unternehmensumgebung abzubilden oder bestimmte Teams und Projekte zu identifizieren, die er in Social-Engineering-Kampagnen anvisieren kann. Wenn sich welcher Domainname hinauf ein Produkt bezieht, dasjenige sich noch in welcher Erschaffung befindet, könnte dies den Wettbewerbern kombinieren Verzeichnis hinauf die Existenz des Produkts verschenken und es ihnen zuteil werden lassen, dasjenige Produkt unter Umständen zu untergraben, vorher es hinauf den Markt kommt.
Informationen extra die Zertifikate – wie die Ablaufdaten oder welcher zum Signieren welcher Zertifikate verwendete Algorithmus – könnten gleichwohl neue Einstiegspunkte in die Unterbau welcher Organisation schaffen, so die Forscher im Detectify-Informationsaustausch. Ein Angreifer könnte zum Beispiel ein weiteres Zertifikat mit derselben Signatur und Maskerade wie welcher anvisierte Tätigkeit erstellen und die Online-Kommunikation parieren.
Schließlich verwendeten etwa 13% des von den Forschern analysierten Datensatzes Wildcard-Zertifikate, die labil zu Gunsten von Anwendungsschichtprotokolle sind, die protokollübergreifende Angriffe zuteil werden lassen. ALPACA kann verwendet werden, um Server mit unverschlüsselten Protokollen dazu zu einbringen, Cross-Site-Scripting-Angriffe auszuführen oder Cookies und Benutzerdaten zu stehlen.
„SSL/TLS-Zertifikate zeugen dasjenige World Wide Web zu einem sichereren Ort, im Gegensatz dazu viele Unternehmen wissen nicht, dass ihre Zertifikate zu einem Hingucker in die Organisation werden können – potenziell vertrauliche Informationen sickern und neue Zugangspunkte zu Gunsten von Angreifer schaffen“, so die Forscher.