Digitale Signaturen sichern die Echtheit von Absender & Daten. Wie Unterschriften gelten digitale Signaturen für fixe Datensätze. Das wird beispielsweise bei E-Mails verwendet, um Phishing zu erschweren. Durch eine Signaturprüfung wird klar, ob eine Nachricht unverändert & wirklich von dir ist.
Nun ein Beispiel aus einem Pentest. Daten wurden in einer Anwendung wie folgt genutzt:
Von: Nina An: Hermine Betrag: 1.000 € Signatur: 7a3b…a6b9 … Von2: Nina An2: Hermine Betrag2: 1.000 €
Die Daten wurden also1x mit & 1x ohne Signatur übermittelt, weil die Anwendung „historisch gewachsen“ war. Passiert. Stört nicht. Funktioniert ja. Egal. Oder?
Was wohl passierte, wenn die Daten wie folgt manipuliert wurden…?
Von: Nina An: Hermine Betrag: 1.000 € Signatur: 7a3b…a6b9 … Von2: Hermine An2: Nina Betrag2: 1.000 €
Werfen wir einen Blick drauf, wie die Daten verarbeitet wurden:
Schritt 1
Signaturprüfung für Von, An & Betrag.
Die Signatur stammt von Nina und Geld soll von Ninas Konto abgehen. Passt!
Schritt 2
Datenverarbeitung, also überweisen von 1.000 € an Nina 💰
Von Hermine.
… wait!
Zwar wurde eine Signatur verwendet, allerdings wurden unsignierte Daten weiterverarbeitet!
Digitale Signaturen nutzen. Aber richtig ♥
Veröffentlicht als Slideshow auf LinkedIn