Digitale Zertifikate: SSL in Gefahr
Der Einbruch beim Sicherheitsdienstleister Diginotar zieht weite Kreise, selbst die niederländische Regierung kommt in Bedrängnis. Weitere Angriffe könnten folgen.
KÖLN taz | "Dieses Mal war der Angriff auf den Iran begrenzt", schreibt ein Unbekannter mit dem Pseudonym "Comodohacker" in einer Botschaft an die Welt und die IT-Sicherheitsbranche im Speziellen.
"Nächstes Mal werde ich Zugänge in Israel, den USA und Europa besitzen und werde die Attacken dort laufen lassen." In seinen Manifesten gibt sich der mutmaßliche Angreifer als regimetreuer Iraner, der Landsleute abstrafen will, die sich aus dem Westen Informationen besorgen.
Die Sicherheitsbranche nimmt die teilweise großmäuligen Botschaften ernst. "Comodohacker" hat darin Details über SSL veröffentlicht, die nur ein Insider wissen kann. //taz.de/Angriff-auf-sichere-Online-Verbindungen/%2168791/%E2%80%9C:Bereits im März hatte der oder hatten die unbekannten Täter mehrere Unternehmen erfolgreich angegriffen.
Secure Sockets Layer (SSL) ist die Standard-Verschlüsselung für geschützte Websites mit Diensten wie Online-Banking, Handel oder Kommunikationdiensten. Auch Finanzämter und andere Behörden verlassen sich auf den Schutz durch SSL.
Aktuelles Ziel war das niederländische Sicherheitsunternehmen Diginotar. Der unbekannte Angreifer war in die Rechner des Unternehmens eingedrungen und hatte dort falsche Zertifikate ausgestellt, mit denen er sich unter anderem als Google ausgeben konnte. Nach Berichten wurden diese falschen Zertifikate im Iran eingesetzt. Über so genannte "Man in the middle"-Attacken konnten die Angreifer so zum Beispiel Nachrichten mitlesen, die über den Dienst "Google Mail" versandt wurde.
Dies ist nicht nur eine theoretische Möglichkeit: Bei der Untersuchung des Vorfalls fanden sich in Protokolldateien über 300.000 Zugriffe auf die manipulierten Zertifikate. 99 Prozent davon stammten aus dem Iran. Dazu mussten die Angreifer auch in die Kommunikation zwischen Google und den Nutzern eingreifen.
Ob er das über eine Schadsoftware oder Manipulationen bei iranischen Providern erreicht hat, ist noch unklar. Für Kriminelle wären diese Zertifikate, die mehrere Wochen unentdeckt blieben, eine Lizenz zum Gelddrucken. Sie könnten damit Online-Banking-Zugänge kapern oder sich in Firmencomputer zur Industriespionage einschleichen.
Versuchte Diginotar am Anfang der Vorfall noch herunterzuspielen, zeigte sich alsbald, wie ernst die Lage ist. Der Angreifer hat über 500 verschiedene Zertifikate ausgestellt - dabei ist noch nicht sicher, ob alle gefunden wurden. Browser- und Betriebssystem-Hersteller reagierten nun mit Updates, um Diginotar von der Liste vertrauenswürdiger Zertifizierer entfernten. Während Google und die Mozilla Foundation relativ schnell reagierten, hatte Apple bis zuletzt Probleme.
Auch die niederländische Regierung war Kunde bei Diginotar. Mit weit reichenden Folgen. Um die Sicherheit der staatlichen Kommunikation zu gewährleisten, übernahm die niederländische Regierung die Kontrolle über Diginotar. Das Problem: zu viele Systeme der niederländischen Regierung haben die Diginotar-Zertifikate fest einprogrammiert. Würden sie auf einen Schlag als nicht vertrauenswürdig gekennzeichnet, würden viele Kommunikationssysteme ihren Betrieb einstellen.
"Besonders die vollautomatisierte Kommunikation zwischen Computern wäre betroffen", erklärte der niederländische Innenminister Piet Hein Donner auf einer Pressekonferenz am Dienstag. Die Niederländer wollen daher erst die wichtigsten Systeme umstellen und dann erst die vermeintlich kompromittierten Zertifikate zentral für ungültig erklären.
Um diesen Übergang zu erleichtern, will Microsoft ein Windows-Update für die Niederlande für eine Woche zurückhalten. Inzwischen hat die Regierung die Frist zur Abgabe der Steuererklärungen verlängert. Wer ganz sicher gehen wolle, müsse zu Papier und Stift greifen, erklärte der Minister.
Damit ist die Krise aber noch lange nicht überwunden. Denn der "Comodohacker" behauptet, auch bei vier weiteren Sicherheitsunternehmen erfolgreich eingedrungen zu sein, darunter der amerikanische Zertifikatsanbieter Globalsign. Das Unternehmen hat daraufhin die Erstellung neuer Zertifikate gestoppt und eine Sicherheitsüberprüfung seiner Rechner angeordnet. Bisher allerdings ohne Erfolg.
Leser*innenkommentare
Jörn Nettingsmeier
Gast
O die Macht der Sprache:
"[Ein SSL-CA] hat daraufhin die Erstellung neuer Zertifikate gestoppt und eine Sicherheitsüberprüfung seiner Rechner angeordnet. Bisher allerdings ohne Erfolg."
Da hat doch wohl das Lektorat geschlafen?
Ein "Erfolg" wäre dann wohl, wenn die gehackte Zertifikate bei sich finden. Na dann erhebe ich mein Teetässchen auf die erfolglosen CAs dieser Welt.
Streber
Gast
Es gibt inzwischen eine Implementierung eines Konzepts mit "verteiltem Vertrauen" als Firefox-Plugin. Zur genaueren Erläuterung kann man sich auf YouTube das Video watch?v=Z7Wl2FW2TcA ansehen.
Am Ende des Videos wird natürlich auch die Seite angegeben, auf der man das Plugin kriegt: convergence.io
Das Ganze wurde gerade erst gestartet, daher gibt es anscheinend noch nicht viele Notaries, aber das kommt mit der Zeit.
Heiko
Gast
Immer wieder lustig wie sicher die Sicherheitsfirmen sind...
Ab schicken
Gast
Wichtiger wäre, seinen Browser-Cache usw. per Plugin durchschauen zu können, um zu sehen, ob man betroffen ist.
Die Anwendung um die iPhone-GPS-Logs graphisch anzuzeigen was ein Riesen Renner. Ein Selbsttest für Vogel-Schweine-Grippe wäre sofort ausverkauft. Leider scheinen die Diginotar-Opfer keinen Firefox-Plugin-Programmierer zu interessieren.
philipp
Gast
...da waren die Diginotare wohl zu lange im Koffeshop