„Who ist Who“ im Netz, oder wer traut wem? Hackerangriff auf Zertifikatsaussteller

10. September 2011 § Hinterlasse einen Kommentar

Nachdem sich Unbekannte dieses Jahr Zugriff auf Server von Zertifikatsausstellern verschafft haben, scheint nichts mehr sicher in der digitalen Welt. Authentifizierungsdienste dienen eigentlich dazu, mittels SSL-Zertifikaten dem Webbrowser sichere Identitäten auszuweisen. Verschafft sich ein Eindringling hier Zugriff, kann er sich mithilfe gefälschter Zertifikate als Google, Facebook, Microsoft oder der Papst ausgeben. 

Solche GAUs sind den Betroffenen peinlich und werden gerne unter den Teppich gekehrt, weil hier das Vertrauen ihrer Kunden verloren geht. Das auf Sicherheitsüberprüfungen spezialisierten Unternehmen Fox-IT veröffentlichte einen Bericht, dem zufolge die Einbrecher schon am 17. Juni in die Server des niederländischen Zertifikatsausstellers Diginotar eingedrungen sind. Zwar standen die Server in einer sicheren Umgebung, waren jedoch über das Management-LAN erreichbar. Dadurch konnte sich der Angreifer von außen weiterhangeln. Die Server seien mit einem schwachen Passwort geschützt gewesen, das man leicht per Brute Force hätte knacken können. 
Erst über fünf Wochen später, nach Hinweisen in einem Google-Forum, kam der Fall an die Öffentlichkeit. 

Der IT-Sicherheitsforscher an der FU Berlin, Sandro Gaycken meint dazu: „Man muss den Zertifizierungsstellen vertrauen können, sonst kollabiert dieser ganze Vertrauensmechanismus“. Ein Interesse an solchen Zertifikaten haben staatliche Autoritäten, Nachrichtendienste wie auch kriminelle Organisationen. Manchmal gibt es ganz reguläre Einbrüche in die Gebäude solcher Unternehmen. „Die Zertifizierer melden so etwas sehr ungern, versuchen eher, das zunächst diskret und hintenrum zu regeln, bevor es jemand merkt.“

Roel Schouwenberg von der Sicherheitssoftware-Firma Kaspersky, der dieses Angriffspotential gefährlicher als den Stuxnet-Vorfall wertet, vermutet als „plausibelstes Szenario“, dass der Angriff auf Diginotar von der iranischen Regierung ausgehe. Darauf weisen die mindestens 531 Zertifikate hin, die sich weitgehend mit den im März bei einem Angriff auf den Zertifikatsaussteller Comodo decken. Die Liste der betroffenen Web-Seiten lässt über Motivation und Intention der Angreifer erahnen. Betroffen sind unter anderem:
  •     Populäre Web-Angebote von Google, Yahoo und AOL,
  •     Geheimdienste wie die amerikanische CIA, der britische MI 6 und der israelische Mossad,
  •     Update-Web-Seiten von Microsoft, darunter windowsupdate.com und www.update.microsoft.com,
  •     Seiten, über die der Firefox-Browser und Zusatzmodule für Firefox geladen werden können,
  •     soziale Netzwerke wie Facebook und Twitter,
  •     Kommunikationsdienste wie Skype, der Blog-Hoster WordPress und der Anonymisierungsdienst Tor. 
Auf beiden Servern hinterließ der Hacker eine Datei mit dem persischen Ausspruch „Janam Fadaye Rahbar“ – auf deutsch etwa: „Ich opfere mich für den großen Führer“. Beidesmal konnte man die Spuren der Angreifer nach Iran zurückverfolgen. Der Angreifer bekennt sich mittlerweile auch zu einem nicht gelungenen Angriff auf den israelischen Zertifikatsausstellers StartSSL, wobei es natürlich nur Vermutungen sind, dass er im staatlichen Auftrag handelt, weil die Botschaften auch arg prahlerisch verfasst sind. Unter anderem: „Ich habe eure teure Firewall, die Router, NetHSM, und nicht-knackbare Hardware-Schlüssel umgangen.“ Desweiteren: „Es tut mir leid, dass ihr diese Nachricht erst lesen werdet, wenn es zu spät ist.“

Diginotar steht mittlerweile unter staatlicher Kontrolle und der Justizminister Piet Hein Donner warnte in einer Pressekonferenz, man könne für die Websites von Sozialbehörden, Polizei und Finanzbehörden keine sichere Kommunikation mehr garantieren. 
Advertisements

Tagged:

Antwort hinterlassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Was ist das?

Du liest momentan „Who ist Who“ im Netz, oder wer traut wem? Hackerangriff auf Zertifikatsaussteller auf Medienzeiger.

Meta

%d Bloggern gefällt das: