Digitale Signaturen sichern die Echtheit von Absender & Daten. Wie Unterschriften gelten digitale Signaturen für fixe Datensätze. Das wird beispielsweise bei E-Mails verwendet, um Phishing zu erschweren. Durch eine Signaturprüfung wird klar, ob eine Nachricht unverändert & wirklich von dir ist.

Nun ein Beispiel aus einem Pentest. Daten wurden in einer Anwendung wie folgt genutzt:

Von: Nina
An: Hermine
Betrag: 1.000 €
Signatur: 7a3b…a6b9
…
Von2: Nina
An2: Hermine
Betrag2: 1.000 €

Die Daten wurden also1x mit & 1x ohne Signatur übermittelt, weil die Anwendung „historisch gewachsen“ war. Passiert. Stört nicht. Funktioniert ja. Egal. Oder?

Was wohl passierte, wenn die Daten wie folgt manipuliert wurden…?

Von: Nina
An: Hermine
Betrag: 1.000 €
Signatur: 7a3b…a6b9
…
Von2: Hermine
An2: Nina
Betrag2: 1.000 €

Werfen wir einen Blick drauf, wie die Daten verarbeitet wurden:

Schritt 1
Signaturprüfung für Von, An & Betrag.

Die Signatur stammt von Nina und Geld soll von Ninas Konto abgehen. Passt!

 

Schritt 2
Datenverarbeitung, also überweisen von 1.000 € an Nina 💰

Von Hermine.
… wait!

 

Zwar wurde eine Signatur verwendet, allerdings wurden unsignierte Daten weiterverarbeitet!

Digitale Signaturen nutzen. Aber richtig ♥

Veröffentlicht als Slideshow auf LinkedIn