Das US-CERT warnt, dass alle Systeme nach einer HTTPS-Unterbrechung potentiell unsicher sind, da die TLS-Verschlüsselung geschwächt sein kann. Das bezieht sich auf HTTPS-Unterbrechung, wie sie beispielsweise oft durch Antivirus-Software erfolgt, um Malware zu erkennen.
Auch wenn eine solche HTTPS-Inspektion sinnvoll sein kann, erfordert sie eine Abwägung der damit verbundenen Risiken, wie zuvor ein Blogeintrag der Carnegie Mellon University darlegte. Nicht selten kommt es demnach vor, dass Sicherheitsprodukte durch eine fehlerhafte Implementierung erst für neue Angriffsvektoren sorgen.
„HTTPS-Inspektion erfolgt durch Unterbrechung des HTTPS-Netzwerkverkehrs und eine Man-in-The-Middle-Attacke auf die Verbindung“, erklärt das CERT. Zu ihrer Durchführung müssen Administratoren vertrauenswürdige Zertifikate auf den Client-Geräten installieren. Das führt aber dazu, dass ein Client-System eine HTTPS-Verbindung nicht mehr unabhängig validieren kann, sondern nur die Verbindung zwischen sich und dem Produkt, das HTTPS unterbricht. Clients müssen sich also auf die HTTPS-Prüfung durch das jeweilige Produkt verlassen, das sich in die Verbindung gedrängt hat.
Aus der kürzlich veröffentlichten Studie The Security Impact of HTTPS Interception (PDF) geht aber hervor, dass viele HTTPS-Inspektion-Produkte die Zertifikatskette des Servers nicht ordentlich verifizieren, bevor sie erneut verschlüsseln und die Daten an Clients weiterleiten – was wiederum anderen einen MITM-Angriff ermöglichen kann. Darüber hinaus werden Hinweise auf Verifizierungsprobleme in der Zertifikatskette nicht immer an den Client weitergereicht, der dann vielleicht fälschlicherweise von einer korrekten Verbindung mit dem richtigen Server ausgeht.
Grundsätzlich empfiehlt das CERT Organisationen, die HTTPS-Inspektion in Betracht ziehen, vorher eine sorgfältige Abwägung der Vorteile und Nachteile solcher Produkte vorzunehmen. Um zu ermitteln, ob ein unterbrechendes Produkt Zertifikate vorschriftsmäßig validiert und Verbindungen zu Sites mit schwacher Verschlüsselung verhindert, könnte sich die Website Badssl.com eignen. Sie stellt eine Reihe von Tests für gründliche Überprüfung bereit.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
