heise PlusAbo
Anzeige

Siegelbruch - Schwachstelle in VeriSigns Secure-Site-Dienst

Phisher können VeriSigns Dienst missbrauchen, um ihren Seiten einen vertrauenswürdigen Anstrich zu verleihen. Der Anbieter vertraut auf die Fähigkeit der Anwender, solche Fälschungen – trotz aller gültigen Sicherheitsmerkmale – zu erkennen.

vorlesen Druckansicht
Lesezeit: 5 Min.
Security
Von
  • Daniel Bachfeld

Um die Vertrauenswürdigkeit ihrer Webshops zu untermauern, nutzen viele Betreiber VeriSigns Security Services - nach dessen Angaben 90.000 E-Commerce-Sites, darunter auch Branchengrößen wie eBay. Eine mit dem "VeriSign Secured Seal"-Logo ausgestattete Seite soll dem Besucher respektive Kunden die Sicherheit geben, dass etwa seine Kreditkartendaten auf der richtigen Seite landen. Dazu genügt ein Klick auf das Logo, durch das eine SSL-gesicherte Seite von VeriSign geöffnet wird. Diese zeigt dem Anwender im Regelfall die bei VeriSign hinterlegten Daten des Webshops und des Inhabers an. Durch den Vergleich dieser Daten und der URL der dazugehörigen Domain soll der Anwender erkennen, ob er wirklich auf der vorgeblichen Seite ist. Laut VeriSign kennen mehr als 75 Prozent aller Internetnutzer das VeriSign-Seal und würden es nutzen.

Abgesehen davon, ob so viele Anwender derlei Gütesiegel wirklich kennen und anklicken, lässt sich dieser Dienst auch von Betrügern ohne jegliche Registrierung missbrauchen. Diese können damit ihren betrügerischen Webseiten einen vertrauenswürdigen Anstrich geben. Dazu genügt es, ein simples HTML-Formular mit beliebigen Angaben nachzubauen und in die eigene Seite nebst "VeriSign Secured Seal"-Logo einzubetten:

<form action="https://digitalid.verisign.de/cgi-bin/haydn.exe" 
 method="post" name="form1" target="_blank">
<input name="VS_ORGANIZATION" value="http://www.heisec.de/" type="hidden">
<input name="VHTML_FILE" value="../htmldocs/query/authCertDisplay.htm" type="hidden">
<input name="STATUS" value="0" type="hidden">
<input name="qmRowOffset" type="hidden">
<input name="qmStartRecNumber" type="hidden">
<input name="qmRecNumber" type="hidden">
<input name="VS_ORGANIZATION" value="heise Security" type="hidden">
<input name="form_file" value="../fdf/authCertByIssuer.fdf" type="hidden">
...
...

Ein Klick auf das Logo schickt die Daten an das Skript haydn.exe auf den SSL-gesicherten Server digitalid.verisign.com, der anhand der Formulardaten eine Seite erstellt, die den selbst eingetragenen Server als "VeriSign Secure Site" anpreist und zusätzlich die gefälschte Server-ID anzeigt. Dabei spielt es keine Rolle, ob der Aufruf des Skripts aus der dazu passenden Domain erfolgt, es ist auch keinerlei Authentifizierungsmerkmal notwendig. Das selbe Skript machte bereits in der Vergangenheit Probleme. Über eine Cross-Site-Scripting-Schwachstelle ließen sich falsche Ergebnisse von Zertifikatsprüfungen übermitteln.

Obwohl heise Security kein bei VeriSign registrierter Anbieter ist, meldet der Secure-Site-Dienst, dass der Status gĂĽltig ist.

Auf das neue Problem angesprochen erklärte VeriSign, dass eine veraltete Version des VeriSign Seals für den Angriff benutzt wurde. Mittlerweile sei man bei Version 4, die nicht verwundbar sei und deren Seitendarstellung sich erheblich von der alten unterscheide. Anwendern würde dies auffallen, die den dazugehörigen Domains nicht trauen würden.

In der Tat unterscheiden sich die aktuellen "VeriSign Seal"-Seiten von denen der von heise Security getesteten Version. Allerdings stellt sich die Frage, woher ein Kunden wissen soll, wie gerade eine Seite in der neuesten Fassung aussieht. Grundsätzlich kann jeder in diese Falle tappen, selbst wenn er alles sorgfältig genau anschaut und die von VeriSign in der Validierungsseite vorgeschlagenen Schritte "ursprüngliche URL prüfen", "URL der VeriSign-Seite prüfen" und "Status der Server ID gültig" durchgeführt hat. Zudem liefert VeriSigns Server die Daten SSL-gesichert aus, was den Eindruck beim Kunden verstärkt, dass alles mit rechten Dingen zugeht.

VeriSign argumentierte zudem, dass das benutzte "VeriSign Secured"-Logo nicht von der VeriSign-Seiten nachgeladen würde, was man beim Schweben des Mauszeigers über dem Logo in der Statuszeile des Browsers sehen können – ein Umstand, der aber auch auf viele diverse echte Online-Shops nicht zutrifft.

Die Kommunikation mit dem Skript haydn.exe läuft über SSL ab, was die Vertrauenswürdigkeit zusätzlich untermauern soll.

Abstellen könne der Anbieter das eigentlich veraltete Skript haydn.exe nicht, da es noch benutzt würde. Neben dem "Secure Seal"-Dienst wickelt das Skript nämlich noch diverse andere Dienste ab, etwa VeriSigns Managed PKI for SSL Support.

In der aktuellen Version 4 des Secure-Site-Programms wird die Verifikationsseite deutlich anders dargestellt.

Da VeriSign derzeit keine Lösung für das Problem anbieten kann, bleibt sicherheitsbewussten Anwendern nur der Schritt, sich ein eigenes Bild davon zu machen, wie eine laut Anbieter nicht fälschbare Seite aussieht.

Fraglich bleibt das Konzept, die Zuverlässigkeit von VeriSigns Dienst trotz aller technischen Maßnahmen letztlich vom aktuellen Informationsstand des Anwenders abhängig zum machen. Darüberhinaus scheint es illusorisch, dass Otto-Normal-Anwender überhaupt das Seal-Logo und das dahinter steckende System erkennt und dessen Informationen nutzt. In der Regel sind viele Anwender schon damit überfordert, ein SSL-Zertifikat auf seine Gültigkeit zu prüfen. So gesehen hätte VeriSigns Dienst weder für die meisten Anwender noch für eine Vielzahl von Webshops einen echten Mehrwert.

(dab)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten