 |
# taz.de -- Hackerangriff auf Zertifikate: "Mobile Nutzer können nur beten" |
|
|
|
> Der IT-Sicherheitsexperte Christopher Soghoian über den Einbruch beim |
|
> holländischen Unternehmen Diginotar und die vielen Nachwirkungen für die |
|
> Nutzer. |
|
|
 |
Bild: Haltet den Dieb: Angriffe auf Certificate Authorities werden sich wohl h�… |
|
|
|
Im September wurde ein [1][Großangriff] auf das niederländische |
|
Sicherheitsunternehmen Diginotar bekannt. Einem Hacker war es gelungen, in |
|
die sogenannte Certificate Authority einzubrechen und sich Zertifikate für |
|
zahllose bekannte Websites auszustellen. |
|
|
|
Die werden benötigt, wenn Nutzer verschlüsselte Verbindungen über das |
|
SSL-Protokoll aufbauen, um sicherzustellen, dass es sich bei der |
|
Gegenstelle um beispielsweise Google oder Facebook handelt. Mit dem Zugriff |
|
auf Diginotar wurde es möglich, diese Zertifikate zu imitieren. |
|
|
|
Diginotar selbst ist mittlerweile pleite, doch der Angriff sei nur einer |
|
der ersten innerhalb einer anrollenden Welle. SSL an sich sei gefährdet, so |
|
Soghoian. |
|
|
|
taz.de: Herr Soghoian, waren Sie überrascht von dem, was sich bei Diginotar |
|
abgespielt hat oder war es nur eine Frage der Zeit, dass sich Hacks auf |
|
Certificate Authorities (CA) mehren? |
|
|
|
Christopher Soghoian: Ja und nein. Hat es mich überrascht, dass die |
|
Sicherheit bei Diginotar so schlecht war? Sicher. Bei allem, was wir |
|
bislang gesehen haben, ist davon auszugehen, dass da vieles extrem |
|
ungeschützt lief. Dass CAs angegriffen werden, überrascht mich dagegen gar |
|
nicht - auch nicht, dass es in diesem Fall offenbar Hacker waren, die mit |
|
einer Regierung in Verbindung standen. |
|
|
|
In den letzten ein, zwei Jahren sehen wir den Trend, dass wichtige Websites |
|
standardmäßig verschlüsseln. Im Januar 2010 begann Google damit, sein |
|
Mailangebot mit SSL zu schützen. Vorher war es für ein Regime sehr einfach, |
|
Google-Nutzer abzuhören. Nun ging das nicht mehr so leicht. Da hat man dann |
|
Auswege gesucht wie diesen Hack. |
|
|
|
War es in diesem Fall wirklich der Iran? |
|
|
|
Was wir wissen, ist, dass es 300.000 Verbindungsanfragen von iranischen |
|
Nutzern gab in Richtung dieser gefälschten Zertifikate. Die iranische |
|
Regierung hat hier eindeutig das größte Motiv. |
|
|
|
Das System der CAs ist recht komplex. Hunderte Firmen können diese |
|
Zertifikate vergeben. Sie selbst kritisieren das. |
|
|
|
Es ist zwar nicht so einfach, ein Verkäufer von Zertifikaten zu werden, |
|
doch wenn man einmal von den großen Browser-Herstellern anerkannt ist, dann |
|
wirkt das wie eine Lizenz, Geld zu drucken. Und dann ist es auch egal, wie |
|
schlecht die eigene Sicherheitslage ist. |
|
|
|
Wenn eine CA einmal gehackt ist, was kann dann getan werden? |
|
|
|
Bei Diginotar haben die meisten Browser- und Betriebssystemhersteller die |
|
Berechtigung für die Zertifikate der Firma gelöscht. Das funktionierte aber |
|
nur deshalb so einfach, weil es sich um eine relativ kleine CA handelt. Als |
|
vor einigen Monaten der große Zertifikateaussteller Comodo gehackt wurde, |
|
wurde dieser nicht ganz gesperrt, sondern nur punktuell. Bei Diginotar |
|
machte die Abschaltung keine großen Probleme - man spürte das vor allem in |
|
den Niederlanden. |
|
|
|
Comodo war dagegen für 15 Prozent der Zertifikate im Web verantwortlich. |
|
Comodo ist damit quasi "Too Big To Fail", wie viele Kommentatoren meinten. |
|
Die Browser-Hersteller können einen großen Zertifikate-Anbieter also gar |
|
nicht bestrafen, weil dann das halbe Web nicht mehr funktionieren würde. |
|
|
|
Um sich vor gefälschten Zertifikaten zu schützen, muss man seinen Rechner |
|
stets auf dem neuesten Stand halten. Im Fall Diginotar scheint das ganz gut |
|
geklappt zu haben. |
|
|
|
Zwar kamen von den Browser-Anbietern schnell Updates heraus, doch das |
|
bedeutet ja nicht, dass die auch bei den Nutzern ankommen. Es wird immer |
|
noch Millionen von Nutzern mit alten Browsern geben, die kein Update |
|
bekommen. Noch schlimmer sieht es auf den Mobilplattformen aus. Google hat |
|
zwar beispielsweise für seinen Browser Chrome für PC und Mac ein Update |
|
veröffentlicht, aber nicht für sein Mobilbetriebssystem Android. Ähnlich |
|
sieht es bei Apple mit iOS, also dem iPhone-Betriebssystem, aus. Man kann |
|
also nicht wirklich sagen, dass das gut klappt. |
|
|
|
Was können Mobilnutzer also tun? |
|
|
|
Die können eigentlich nur beten. Und das ist nicht gerade die beste Art von |
|
IT-Sicherheit. Am Desktop-PC kann man sich ja schützen. Und das Problem |
|
wird sich noch verschärfen: Ich erwarte, das künftig noch weitere |
|
Zertifikats-Aussteller gehackt werden. |
|
|
|
Es gibt schließlich mehr als 600 davon und ein paar werden sicher keine |
|
besonders guten Sicherheitsmaßnahmen getroffen haben. Die Motivation für |
|
Regime, solche Angriffsziele zu wählen, ist wirklich groß, weil sie sonst |
|
nicht mehr so leicht schnüffeln können. Wenn sie dann in eine CA reinhacken |
|
müssen, machen sie das halt. |
|
|
|
Interview: Ben Schwan |
|
|
|
22 Sep 2011 |
|
|
|
## LINKS |
|
|
 |
[1] /Verschluesselung-im-Netz/!77351/ |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Digitale Zertifikate: SSL in Gefahr |
|
|
|
Der Einbruch beim Sicherheitsdienstleister Diginotar zieht weite Kreise, |
|
selbst die niederländische Regierung kommt in Bedrängnis. Weitere Angriffe |
|
könnten folgen. |
|
|
|
Verschlüsselung im Netz: Wenn der digitale Notar schlampt |
|
|
|
Abermals wurde die Internetverschlüsselung SSL geknackt, wieder waren |
|
iranische Internetnutzer Ziel der Angriffe. Die Angriffe blieben über |
|
Wochen unentdeckt. |
