Während weltweit über die Folgen der Dark Matter-Debatte nachgedacht wird, müssen Sicherheitsverantwortliche bereits jetzt anfangen zu hinterfragen, wie sie die Kontrolle erhöhen und die Risiken in den Trust Stores minimieren können. Details erklärt Kevin Bocek von Venafi in diesem Beitrag.
Das Cybersicherheitsunternehmen mit Sitz in den Vereinigten Arabischen Emiraten (VAE), Dark Matter CA, hat in den letzten Jahren einen hervorragenden Rekord aufgestellt. In dieser Zeit war es als Sub-CA unter dem Anbieter QuoVadis tätig und kann nun dank dem belgischen Unternehmen Zertifikate für Webseiten ausstellen. Der bislang vor allem in Europa und dem Nahen Osten tätige Anbieter QuoVadis wurde erst kürzlich von DigiCert übernommen. Auf dem Papier gibt es also keine größeren Einwände, da Dark Matter die Anforderungen des seit 2005 aktiven CA/Browser-Forums erfüllt.
Wenn nun allerdings der Root-Status von Firmen wie Mozilla nicht erteilt wird oder aber mit einer Sperrung in Firefox drohen, dann untergräbt dies die Autorität des CA/Browser-Forums und zwar massiv. Die Zertifikate wären dann schließlich nicht nur bei Firefox gesperrt, sondern auch bei allen anderen Browser-Herstellern wie Apple, Google und Microsoft.
Sicherlich ist es richtig die Aktivitäten des Unternehmens zu hinterfragen, wie es die Nachrichtenagentur Reuters gemacht hat, indem sie herausgefunden hat, dass Dark Matter angeblich in die Überwachungsaktivitäten des Project Ravens involviert ist. In diesem Projekt werden im Auftrag eines ausländischen Geheimdienstes, Menschenrechtsaktivisten, Journalisten und politische Rivalen ausspioniert und dabei modernste Cyberspionage-Tools einsetzt. Natürlich weist Dark Matter diese Behauptungen zurück.
Im gleichen Atemzug versucht es, diese Probleme als irrelevant für die Genehmigung ihres potenziellen CA-Status mit Mozilla zu erklären. Aber sollte ihre Zugehörigkeit zur Regierung der VAE gegen sie verwendet werden? Schließlich gibt es viele andere Beispiele von Regierungsstellen in den Trust Stores von Google, Apple und Microsoft. Und es ist auch nicht die Aufgabe des CA/Browser-Forums Gott zu spielen. Es geht nicht darum, ein Moralapostel zu sein, wie es die Electronic Frontier Foundation (EFF) und Amnesty International derzeit sind. Es ist nicht einmal wichtig, über die Absicht von jemandem zu urteilen, der einen Zertifikatsantrag stellt. Es ist fast ein bisschen wie im Mittelalter, wo die einzigen Menschen, die ein Königreich vor Angreifern schützen werden, man selbst als Sicherheitsverantwortlicher ist.
Maßnahme: Black- und Whitelisting von CAs
Das bedeutet, dass es an den Sicherheitsleitern liegt, das Verständnis und die Entscheidung darüber zu übernehmen, welchen Einheiten sie vertrauen werden. Sicherheitsverantwortliche sollten nicht blindlings in etwas vertrauen, was nichts mit dem Geschäftsbetrieb zu tun hat. Jeder einzelne muss eine aktive Rolle beim Black- und White-Listing der CAs in seinem Trust Store übernehmen. Maschinenidentitäten werden überall verwendet und sie werden von den CAs ausgestellt, es ist egal ob beim Desktop über Anwendungsserver bis hin zur Cloud, überall muss am Ende Hunderten von CAs vertraut werden.
Root-Zertifikate sind mächtige Waffen
Ein Sicherheitsverantwortlicher würde wohl kaum zum Vorstand gehen und sagen, dass er einem rumänischen Unternehmen vertraut, dass es jedem auf der Welt ermöglicht, seiner Firma zu vertrauen, besonders wenn das Unternehmen keine Geschäftstätigkeiten in Rumänien hat. Dieser Teil ist der einzige der Cybersicherheit, in dem genau dieses Szenario eintritt. Es ist riskant, keine White- und Blacklist für CAs in Zehntausenden von Trust Stores im Durchschnittsgeschäft einzurichten. Was diese Herausforderung noch verschärft, ist, dass die gefährdeten Maschinenidentitäten ein Hauptziel für Cyberkriminelle sind. Ein aktueller Bericht zeigt, dass Maschinenidentitäten im Dark Web wirtschaftlich wertvoller sind als menschliche Identitäten. Die Preise für Zertifikate variieren im Darknet aktuell zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
Die aufgerufenen Preise verdeutlichen, dass die Maschinenidentitäten wichtiger sind, als beispielsweise digitale Identitäten. Erstmals urden nun auch erweiterte Validierungszertifikate (Extended-Validation EV-Zertifikate) gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet sind. Das Geschäft mit solchen Zertifikaten floriert im Darknet. Aber viele CISOs wurden nicht darin geschult, dies zu berücksichtigen oder auf Bedrohungen der Maschinenidentität zu reagieren. Sie wissen einfach nicht, wie groß die Bedrohung ist oder was sie tun können, um sie zu mildern.
Fazit
Während weltweit über die Folgen der Dark Matter-Debatte nachgedacht wird, müssen Sicherheitsverantwortliche bereits jetzt anfangen zu hinterfragen, wie sie die Kontrolle erhöhen und die Risiken in den Trust Stores minimieren. Unternehmen und Organisation sollten sich darüber sorgen, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, nun als Darknet-Ware an Cyberkriminelle verkauft werden. Nur eine automatisierte Suche nach allen im Unternehmen befindlichen Maschinenidentitäten kann sie vor Missbrauch schützen.
