1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Comodo: Zertifikatsausstellung mit…

warum der Aufwand?

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. warum der Aufwand?

    Autor: nicoledos 30.07.16 - 14:56

    Nach dem Szenario müsste ein Angreifer die Bestätigungsmail der CA (Comodo) manipulieren. Nur warum? Wer schon so weit ist kann doch die Mail gleich umleiten.

  2. Re: warum der Aufwand?

    Autor: RipClaw 30.07.16 - 15:16

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Nach dem Szenario müsste ein Angreifer die Bestätigungsmail der CA (Comodo)
    > manipulieren. Nur warum? Wer schon so weit ist kann doch die Mail gleich
    > umleiten.

    Nein so einfach ist es nicht an die Email ran zu kommen.
    Wenn man bei Comodo ein Zertifikat bestellt dann kann man die Verifikationsmail nur an bestimmte Adressen verschicken lassen.
    In erster Linie sind es

    admin@
    administrator@
    postmaster@
    hostmaster@
    webmaster@

    immer mit dem Domainnamen für den das Zertifikat ist hinten dran. Zusätzlich wird dann bei einigen TLDs noch die Email-Adresse angeboten die im Whois eingetragen ist.

    Das Problem das Comodo jetzt hat ist das sie "höflich" sein wollen und den Firmennamen den man bei der Bestellung angegeben hat mit in den Text der Email aufnehmen und der wird nicht sauber auf HTML Quellcode geprüft.



    1 mal bearbeitet, zuletzt am 30.07.16 15:17 durch RipClaw.

  3. Re: warum der Aufwand?

    Autor: Spaghetticode 30.07.16 - 15:17

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Wer schon so weit ist kann doch die Mail gleich umleiten.

    Dafür müsste der Angreifer aber Zugriff auf den Mailheader, den Envelope, den Mailserver oder die Verbindung dazwischen haben. Bei dem genannten Angriff ist der Zugriff auf die vier vorgenannten Dinge nicht nötig.

  4. Re: warum der Aufwand?

    Autor: nicoledos 30.07.16 - 15:30

    ah jetzt klingelt es.

    Der HTML-Code wird nicht in die E-Mail, sondern in die Daten bei der Registrierung eingeschleust. Hat der Text anfänglich leicht in die irre geführt.

  5. Re: warum der Aufwand?

    Autor: User_x 30.07.16 - 18:45

    komisch, ich konnte den verifikationslink nicht verwenden, da ich eigentliche mail mit einem catch-all postfach öffnete. musste extra mail einrichten um diese zu bestätigen.

    aber wozu brauch ich ein CA wenn ich auf die domain nicht zugreifen kann?

    CA von anderem dienstleister wird doch nicht vorhandene ssl-verbindung knacken?

  6. Re: warum der Aufwand?

    Autor: My1 30.07.16 - 21:26

    du könntest aber dich per MITM einklinken und dem browser glaubhaft machen du wärest die zieladresse.

  7. Re: warum der Aufwand?

    Autor: RipClaw 30.07.16 - 21:27

    User_x schrieb:
    --------------------------------------------------------------------------------
    > komisch, ich konnte den verifikationslink nicht verwenden, da ich
    > eigentliche mail mit einem catch-all postfach öffnete. musste extra mail
    > einrichten um diese zu bestätigen.
    >
    > aber wozu brauch ich ein CA wenn ich auf die domain nicht zugreifen kann?

    > CA von anderem dienstleister wird doch nicht vorhandene ssl-verbindung
    > knacken?

    Wenn man sich ein Zertifikat für eine fremde Domain bestellen kann, kann man eventuell damit einen Man in the Middle Angriff fahren.

    Ein Beispiel dafür wäre das man bei einem großen Provider den DNS Server mit einer falschen IP füttert und so die Nutzer auf einen von dir kontrollierten Server leitet der sich mit dem entsprechenden Zertifikat gegenüber den Nutzern ausweist. Da die CA in den Root Zertifikaten eingetragen ist akzeptieren die Programme des Nutzers das Zertifikat ungefragt.

    Ein anderer Angriff wäre das man z.B. einen Telekom Hotspot vortäuscht und darauf wartet das sich Handys automatisch einloggen. Durch das Zertifikat kann man Zugangsdaten abgreifen ohne das die Nutzer das merken.

  8. Re: warum der Aufwand?

    Autor: phade 01.08.16 - 13:34

    ...



    1 mal bearbeitet, zuletzt am 01.08.16 13:35 durch phade.

  9. Re: warum der Aufwand?

    Autor: My1 01.08.16 - 13:36

    der punkt ist dass man sich eben n cert auf seinen eigenen key ausstellen lässt

  10. Re: warum der Aufwand?

    Autor: phade 01.08.16 - 13:45

    My1 schrieb:
    --------------------------------------------------------------------------------
    > der punkt ist dass man sich eben n cert auf seinen eigenen key ausstellen
    > lässt
    ... und dazu eine Bestellung bei Comodo auslösen muss.
    Da braucht man schonmal irgendeine eMailadresse (ok, geht ja als "Wegwerf") und irgendein Zahlungsmittel (ok, geklaute Kreditkarte).
    Nunja, auf jeden Fall gehört da schon Einiges an Energie und Knowhow dazu (zusammen mit dem MITM/DNS-Attack).
    Und dann muss man noch einen Blöden beim DOmaininhaber finden, der wirklich sowas wie einen Button anklickt (und als Hostmaster HTML-Mails zulässt, liest und so bearbeitet).
    Und einen Kunden, der sich nicht wundert, wenn sein gesamter Traffic umgeleitet wird.

    Ich denke, dass uns das hier alles auffallen würde bzw. da wir das Order-Prozedere für unsere Kunden bei Comodo übernehmen. Bei anderen Registries ist das ganze Order-Prozedere auch noch durch feste IPs geschützt, da kommt schonmal gar keiner ran.

    Daher würde ich das als eher exotisches Problem einstufen, aber besser sind die Textmails dann schon.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Compador Dienstleistungs GmbH, Berlin
  2. TKI Automotive GmbH, Kösching, Ingolstadt
  3. Deutscher Akademischer Austauschdienst e.V. (DAAD), Bonn
  4. GK Software SE, Berlin, Jena, Schöneck/Vogtl., St. Ingbert

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kotlin, Docker, Kubernetes: Weitere Online-Workshops für ITler
Kotlin, Docker, Kubernetes
Weitere Online-Workshops für ITler

Wer sich praktisch weiterbilden will, sollte erneut einen Blick auf das Angebot der Golem Akademie werfen. Online-Workshops zu den Themen Kotlin und Docker sind hinzugekommen, Kubernetes und Python werden wiederholt.

  1. React, Data Science, Agilität Neue Workshops der Golem Akademie online
  2. In eigener Sache Golem Akademie hilft beim Einstieg in Kubernetes
  3. Golem Akademie Data Science mit Python für Entwickler und Analysten

Threefold: Die Idee vom dezentralen Peer-to-Peer-Internet
Threefold
Die Idee vom dezentralen Peer-to-Peer-Internet

Wie mit Blockchain, autonomem Ressourcenmanagement und verteilter Infrastruktur ein gerechteres Internet entstehen soll.
Von Boris Mayer

  1. Circulor Volvo kämpft per Blockchain gegen Warlords und Kinderarbeit
  2. Hamsterkäufe App soll per Blockchain Klopapiermangel vorbeugen

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter