 |
# taz.de -- Gehackte Zertifikate: Google entfernt Sicherheitsschloss |
|
|
|
> Google will sicherer werden. Bisher wurden sensible Daten auf Webseiten |
|
> durch die "SSL"-Technik gesichert. Die kann aber gehackt werden. |
|
> Alternativen werden gesucht. |
|
|
 |
Bild: Nicht alles, wo ein Schloss dran ist, ist auch verschlüsselt. |
|
|
|
Jeder Internet-Nutzer kennt das kleine Sicherheitsschloss. Es taucht auf, |
|
wenn man sich auf geschützten Seiten bewegt: Mit dem sogenannten "Secure |
|
Sockets Layer" (SSL) werden Tag für Tag millionenfach Verbindungen im Netz |
|
abgesichert. Doch die Verfahren, mit denen die Integrität von SSL |
|
sichergestellt wird, bekamen in den letzten beiden Jahren gleich mehrfach |
|
eins auf die Mütze. Es zeigte sich, dass sich die Technik durch die |
|
Hintertür aushebeln lässt. |
|
|
|
Die Grundlagentechnik, die in ihrer ersten Version bereits Mitte der 1990er |
|
Jahre beim amerikanischen Surfwerkzeughersteller Netscape entstand, ist |
|
mittlerweile in die Jahre gekommen. Damit SSL funktioniert, muss |
|
sichergestellt sein, dass die Website, die man ansurft, auch wirklich der |
|
entspricht, die man sehen möchte. Sonst gibt man seine Bankdaten bei |
|
Gaunern ein, obwohl es so aussieht, als sei die Verbindung sicher. |
|
|
|
Dazu werden von zentralen Stellen, die von kommerziellen Unternehmen |
|
betrieben werden, digitale Zertifikate ausgegeben. Doch diese Stellen |
|
lassen sich hacken: 2011 kam heraus, dass es Angreifern gelungen war, |
|
eigene Zertifikate für große Websites wie Google oder Yahoo zu erstellen, |
|
die dann in Kombination mit weiteren Tricks zum Abhören eigentlich |
|
geschützter Verbindungen genutzt werden konnten. Regime im nahen Osten |
|
sollen sich der Technik bedient haben. |
|
|
|
## Einmal Zertifikat, immer zertifiziert |
|
|
|
Ein anderes Problem ist die extrem schwere Rücknahme eines einmal |
|
ausgestellten Zertifikats. Wird eine ganze Zertifizierungsstelle |
|
kompromittiert, muss diese in jedem Browser der Welt entfernt werden. Doch |
|
bieten nicht alle Hersteller Updates an, mobile Geräte bekommen oft gar |
|
keine Aktualisierungen und die Nutzer wissen nichts davon. Das führt dann |
|
dazu, dass gefälschte Zertifikate über Jahre verwendet werden. |
|
|
|
Es gibt zwar Verfahren, mit denen sich einzelne Zertifikate auch |
|
nachträglich zurückziehen lassen - dazu werden von den Ausstellern |
|
sogenannte Certificate Revocation Lists, kurz CRLs, ausgegeben. Deren |
|
Abfrage dauert aber mindestens eine Sekunde beim Aufruf einer gesicherten |
|
Adresse, was dem Nutzer als Verlangsamung vorkommt. |
|
|
|
Die meisten Browser sind sogar so eingestellt, dass sie die Abfrage einfach |
|
weglassen, wenn der Listenserver sie nicht erreicht. "Das ist so wie ein |
|
Sicherheitsgurt, der im Falle eines Unfalls reißt. Obwohl es 99 Prozent der |
|
Zeit funktioniert, ist es wertlos, weil es nur funktioniert, wenn man es |
|
nicht braucht", sagt Adam Langley, Sicherheitsforscher bei Google. |
|
Kriminelle könnten die Abfrage lahmlegen, um sicherzustellen, dass sie |
|
nicht funktioniere. |
|
|
|
## Chrome ohne Abfrage |
|
|
|
Deshalb habe sich Google mittlerweile entschieden, die Abfrage der Listen |
|
aus seinem hauseigenen Browser Chrome zu entfernen, sagt Langley. |
|
Stattdessen will das Unternehmen eine eigene, hochverfügbare Liste führen, |
|
die ständig aktualisiert wird. Sie werde dann mit Browser-Updates |
|
automatisch übertragen. Langley forderte die Zertifikateaussteller auf, |
|
Google zeitnah zurückgezogene Zertifikate mitzuteilen. Derzeit dauere so |
|
etwas oft Monate, heißt es bei dem Internet-Konzern. |
|
|
|
Nutzerseitig lässt sich derzeit nur wenig tun - die Browserhersteller und |
|
die Zertifikateaussteller müssen reagieren. Der [1][Sicherheitsforscher] |
|
[2][Christopher Soghoian] hatte schon vor fast zwei Jahren vorgeschlagen, |
|
eine Browser-Zusatzsoftware anzubieten, die prüfen kann, ob Zertifikate |
|
ungewöhnlicher Herkunft sind. So ließe sich der Nutzer beispielsweise |
|
darauf aufmerksam machen, dass er zwar bei Google USA eingeloggt ist, aber |
|
das Zertifikat aus einem Regimeland in Nahost stammt. |
|
|
|
Bislang ist die Technik aber noch nicht auf dem Markt. Hilfreich sind |
|
allerdings bereits jetzt Werkzeuge wie die kostenlose [3][Toolbar] von |
|
Netcraft für Firefox, die unter anderem das Alter eines Angebots prüft und |
|
auf Merkwürdigkeiten aufmerksam macht. Die Netzbürgerrechtsorganisation SSL |
|
betreibt zudem ein sogenanntes [4][SSL-Observatorium], das |
|
Manipulationsversuche aufdecken soll. |
|
|
|
9 Feb 2012 |
|
|
|
## LINKS |
|
|
 |
[1] /Hackerangriff-auf-Zertifikate/!78610/ |
|
[2] /Hackerangriff-auf-Zertifikate/!78610/ |
|
[3] http://toolbar.netcraft.com%3Cspan%20class= |
|
[4] http://www.eff.org/observatory |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Vor- und Nachteile von Googles Chrome: Der muss nicht böse sein |
|
|
|
Googles Web-Browser Chrome hat sich in vier Jahren zum Marktführer |
|
entwickelt. Das liegt auch daran, dass die Software wirklich gut ist – wenn |
|
man sie richtig einstellt. |
|
|
|
Firefox Version 11: Feuerfuchs wehrt sich gegen Chrome |
|
|
|
Der Open-Source-Browser Firefox verliert Marktanteile – ausgerechnet |
|
gegenüber Googles Browser. Die neue Version 11 bietet kleinere |
|
Verbesserungen. |
|
|
|
Googles Daten-Attacke auf Safari: Nichts Persönliches |
|
|
|
Der Internetkonzern Google hat laut Eigenaussage unabsichtlich die |
|
Datenschutz-Standards von Apple ausgehebelt. Mit Tracking-Cookies ließ sich |
|
das Nutzer-Verhalten im Netz nachverfolgen. |
|
|
|
Google arbeitet an Musikanlage: Drahtlos beschallt |
|
|
|
Musikhören ohne lästigen Kabelsalat – daran arbeitet Google |
|
US-Medienberichten zufolge. Seit Mitte Januar wird in den Häusern von |
|
Mitarbeitern getestet. |
|
|
|
Datenspeicherung mit "Drive": Google baut Online-Festplatte |
|
|
|
Eine Festplatte im Internet? Das gibt es schon. Jetzt will auch Google |
|
einen Online-Speicherdienst anbieten. Auf "Drive" sollen Nutzer Texte, |
|
Fotos und Videos speichern können. |
|
|
|
Kommentar "Safer Internet Day": Internetausdrucker unter sich |
|
|
|
Wieder ist "Safer Internet Day". Und wieder stellt sich die Frage, was |
|
dieser Tag aussagen soll. Seine wahre Bestimmung steht ihm erst noch bevor. |
|
|
|
Neue Datenschutzbedingungen bei Google: Der große Datenhaufen |
|
|
|
Google will wie Facebook werden: Für die Zentralisierung der Daten wirbt |
|
die Firma deshalb um das Einverständnis der Nutzer. Dagegen wehren können |
|
die sich nicht. |
|
|
|
Netzwerk Google+: Nutzer einfach hinzugefügt |
|
|
|
Google vermeldete jüngst stolz, die Nutzerzahlen seines Netzwerks Google+ |
|
hätten sich verdoppelt. Das hängt womöglich mit einem Trick zusammen. |
