WCM Forum - Einzelnen Beitrag anzeigen - DNS spoofing überprüfung ob ich wirklich mit bank rechner verbunden bin

fenster · 23.09.2003, 20:44

Es ist mit frei im Internet verfügbaren Tools völlig trivial, einen SSL-CA-Zertifizierungsschlüssel zu erstellen, der dem Schlüssel einer echten Certification Authority extrem ähnlich sieht. Damit unterschreibt man das hausgemachte SSL-Banking-Zertifikat. Bleibt lediglich, dem Browser des Banking-Kunden den gefälschten CA-Schlüssel unterzuschieben.

Es gäbe allerdings einfache Möglichkeiten, die Anwender gegen solche Angriffe zu schützen: Am wichtigsten wäre die Umstellung sämtlicher SSL-Zertifikate von DNS-Namen auf IP-Adressen. Damit wird dem Angreifer extrem erschwert, den SSL-Zugriff umzuleiten. Da im SSL-Zertifikat die URL (etwa 'https://banking.meinebank.de') steht, für die es gilt, kann man bislang keine numerische IP-Adresse eingeben. Der Browser beschwert sich sonst, daß die URL nicht zum Zertifikat paßt.

Weiterhin benötigten die Homebanking-Kunden eine kurze, gedruckte Checkliste, in der die Seriennummer und ein kryptographischer Fingerabdruck des SSL-Zertifikats stehen. Diese Informationen müßten über einen sicheren Kanal, beispielsweise per Post, ankommen. Nach aufmerksamer Kontrolle der Schlüsseldaten ließen sich dann Angriffe durch gefälschte SSL-Zertifikate wirksam verhindern.

quelle :
http://www.heise.de/ct/97/10/286/

gruß
fenster

23.09.2003, 20:44	#7
fenster Master Registriert seit: 29.12.2001 Beiträge: 797	Es ist mit frei im Internet verfügbaren Tools völlig trivial, einen SSL-CA-Zertifizierungsschlüssel zu erstellen, der dem Schlüssel einer echten Certification Authority extrem ähnlich sieht. Damit unterschreibt man das hausgemachte SSL-Banking-Zertifikat. Bleibt lediglich, dem Browser des Banking-Kunden den gefälschten CA-Schlüssel unterzuschieben. Es gäbe allerdings einfache Möglichkeiten, die Anwender gegen solche Angriffe zu schützen: Am wichtigsten wäre die Umstellung sämtlicher SSL-Zertifikate von DNS-Namen auf IP-Adressen. Damit wird dem Angreifer extrem erschwert, den SSL-Zugriff umzuleiten. Da im SSL-Zertifikat die URL (etwa 'https://banking.meinebank.de') steht, für die es gilt, kann man bislang keine numerische IP-Adresse eingeben. Der Browser beschwert sich sonst, daß die URL nicht zum Zertifikat paßt. Weiterhin benötigten die Homebanking-Kunden eine kurze, gedruckte Checkliste, in der die Seriennummer und ein kryptographischer Fingerabdruck des SSL-Zertifikats stehen. Diese Informationen müßten über einen sicheren Kanal, beispielsweise per Post, ankommen. Nach aufmerksamer Kontrolle der Schlüsseldaten ließen sich dann Angriffe durch gefälschte SSL-Zertifikate wirksam verhindern. quelle : http://www.heise.de/ct/97/10/286/ gruß fenster