Im Darknet floriert der Handel mit gefälschten TLS-Zertifikaten. Denn mit der zunehmenden Verbreitung von HTTPS-Websites mit TLS-Zugriff (Transport Layer Security, vormals SSL genannt) tarnen Kriminelle ihre Phishing- und Malware-Sites zunehmend mit Zertifikaten, um sie für den ahnungslosen Besucher echt aussehen zu lassen. Dies, so warnt Venafi, ein Spezialist für den Schutz von Maschinenidentitäten, gehe aus einer von dem Anbieter veranlassten Untersuchung der Georgia State University und der University of Surrey zum Thema hervor.

Gefälschte Maschinenidentitäten, so warnt Venafi, gibt es heute als Service-Paket für Cyberkriminelle, die Websites fälschen, verschlüsselten Datenverkehr belauschen, MITM-Angriffe (Man in the Middle) durchführen und sensible Daten stehlen wollen. Die Forscher der beiden Universitäten haben Marktplätze für TLS-Zertifikate aufgedeckt, auf denen Händler Zertifikate verkaufen und mit einer breiten Palette ergänzender Services anbieten, darunter zum Beispiel Web-Design-Services, um Phishing-Sites möglichst echt aussehen zu lassen. Ergänzend bot man Leistungen wie Google-indexierte Bestands-Domains, After-Sale-Support und die Integration mit einer Reihe von Zahlungsabwicklern, darunter PayPal, Square und Stripe (siehe Bild oben).

Die Schwarzmarktpreise für illegale Zertifikate beginnen bei ein paar hundert Dollar, können aber im Fall von EV-Zertifikaten (Extended Validation) bis in den vierstelligen Bereich gehen: „EV-Zertifikate werden im Dark Web für bis zu 2.000 Dollar gehandelt“, so Kevin Bocek, VP Security Strategy and Threat Intelligence bei Venafi, im LANline-Interview. „Das zeigt, wie kritisch Zertifikatdaten inzwischen für Angreifer sind, um eine gefälschte Website glaubwürdig als die eines existierenden Unternehmens auszugeben.“ Umgekehrt bedeute dies aber auch: Heute könne sich ein Angreifer im Web für weniger als 2.000 Dollar glaubwürdig als legitimes Unternehmen präsentieren.

Problemquelle manuelles Handling

Ein Grundproblem ist laut Bocek, dass das Management von Zertifikaten in den Unternehmen nach wie vor händisch erfolgt: „Die Branche nutzt Zertifikate seit 25 Jahren auf die gleiche Weise: Die Anlage von Zertifikaten ist nach wie vor ein manueller Prozess. Das ist nicht mehr zeitgemäß, denn der Prozess skaliert nicht.“

In Zeiten der agilen Entwicklung und der DevOps-Prozesse gelte es vielmehr, die Zertifikaterstellung in DevOps-Abläufen zu verankern. Sogar eine Self-Service-Bestellung von Zertifikaten seitens der Entwickler ist laut dem Venafi-VP nicht mehr praktikabel. Seine Forderung: „Die Erzeugung von Maschinenidentitäten sollte ein einheitlicher Service im Unternehmen sein, der mittels API automatisiert ist.“

So müsse jeder neuen Server-Instanz bei der Erzeugung bereits automatisiert eine Maschinenidentität zugewiesen werden. Nur auf diese Weise, so Bocek, könne man den Überblick behalten und zum Beispiel versehentlich abgelaufene Zertifikate vermeiden, die dann wiederum Angreifern eine Grundlage für Phishing-Aktivitäten bieten.

„Das Security-Team muss dazu mit dem Entwicklerteam reden“, so der Venafi-VP. „Es sollte nicht einfach als ‚Verhinderer‘ auftreten, sondern den Entwicklern klarmachen: ‚Wir können euch helfen, schneller zum Ziel zu kommen.‘“

Venafis Report über den Zertifikatsmissbrauch ist gegen Angabe persönlicher Daten erhältlich unter www.venafi.com/TLS-Certificates-and-Their-Prevalence-on-the-Darknet.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.