 |
# taz.de -- Angriff auf sichere Online-Verbindungen: SSL-Zertifikate in falsche… |
|
|
|
> Sind sichere Verbindungen noch sicher? Ein Angriff aus dem Iran auf den |
|
> Sicherheitsdienstleister Comodo sorgt in der IT-Community für |
|
> Verunsicherung. |
|
|
 |
Bild: Sorgen für Sicherheit, können aber auch abhanden kommen: Schlüssel. |
|
|
|
Die "Secure Socket Layer"-Technik (SSL) gehört zu den Grundlagen des |
|
Internetverkehrs. Jede Onlinebanking-Plattform, jeder halbwegs seröse |
|
Online-Shop und immer mehr soziale Netzwerke wie Facebook setzen die |
|
Verschlüsselung ein, um ihre Kunden vor Datendiebstahl zu retten. |
|
|
|
Wann immer in der Statusleiste des Browsers ein kleines Schloss erscheint, |
|
ist SSL im Einsatz. Die Verschlüsselung stellt nicht nur sicher, dass |
|
niemand den Datenverkehr abhören kann, sie authentifiziert den Anbieter |
|
auch, so dass Anmeldedaten und private Nachrichten nicht an den falschen |
|
Server geschickt werden. |
|
|
|
Das Vertrauen in die Technik wird nun durch einen spektakulären Angriff auf |
|
den Sicherheitsdienstleister Comodo gestört. Die Firma stellt |
|
SSL-Zertifikate aus, mit denen sich die Anbieter ausweisen können und die |
|
von allen gebräuchlichen Browsern ohne weitere Nachfrage akzeptiert werden. |
|
Bereits im März gelang es einem unbekannten Angreifer über die Computer |
|
eines Geschäftspartners in die Systeme von Comodo einzudringen. Den freien |
|
Zugang nutzte er, um sich selbst Zertifikate auszustellen. |
|
|
|
Der Hacker erbeutete so Zertifikate, mit denen er sich als Microsoft, |
|
Google, Yahoo, Skype oder Mozilla ausgeben konnte. Obwohl kein Hinweis |
|
gefunden wurde, dass der Angreifer die Zertifikate wirklich nutzte, sind |
|
IT-Sicherheitsexperten alarmiert. Comodo konnte den Angriff in den Iran |
|
zurückverfolgen. Mit den Zertifikaten hätte der Hacker gefälschte Updates |
|
von beliebten Programmen verbreiten oder den Datenverkehr von Angeboten wie |
|
Google Mail oder Hotmail abfangen können. |
|
|
|
## Angriff auf E-Mail-Anbieter? |
|
|
|
"Meiner Meinung nach versucht jemand die Nachrichten von anderen Leuten zu |
|
lesen", sagte Comodo-Manager Melih Abdulhayoglu in einem [1][Interview mit |
|
Wired.com]. Um die Attacke auszuführen, benötige er aber Zugriff auf das |
|
Domain Name System, das für die Namensauflösung von Webseiten zuständig |
|
ist. |
|
|
|
Doch dies kann kaum beruhigen: Mittlerweile haben sich viele Kriminelle |
|
darauf spezialisiert, Surfer auf falsche Webseiten zu locken, um dort |
|
Zugangsdaten abzugreifen. Mit den gefälschten SSL-Zertifikaten haben solche |
|
Kriminelle fast freie Bahn. Doch auch für Geheimdienste sind sie sehr |
|
interessant - so benutzen Oppositionelle in Diktaturen oft die |
|
Web-Mail-Dienste aus dem Westen. |
|
|
|
Genährt werden diese Spekulationen von einem Bekennerschreiben. In |
|
gebrochenem Englisch erklärte der angebliche Angreifer, wie er in die |
|
streng gesicherten Systeme von Comodo gelangen konnte. Demnach sei er erst |
|
in die Rechner eines italienischen Vertriebspartners eingedrungen und habe |
|
dort die geheimen Anmeldedaten für die Zertifikatserstellung gefunden. "Ich |
|
bin nur ein Hacker, haber aber die Erfahrung von 1.000 anderen Hackern", |
|
[2][prahlt der Autor]. |
|
|
|
## Iranische Oppositionelle bedroht |
|
|
|
Brisanter ist: Er identifiziert sich als regimetreuer Iraner, der allen |
|
Kräften droht, die gegen die Interessen seines Landes verstoßen. "Ich werde |
|
niemandem im Iran erlauben meinem Volk zu Schaden, den |
|
Nuklearwissenschaftlern meines Landes, meinem Führer, meinem Präsidenten. |
|
Solange ich lebe, werdet ihr das nicht schaffen", schreibt der Unbekannte. |
|
|
|
Experten streiten darüber, ob die Version eines Einzeltäters realistisch |
|
ist oder ob vielleicht doch eine Gruppe oder gar ein Geheimdienst hinter |
|
den Angriffen steht. Eine Überprüfung der Verschlüsselungs-Infrastruktur |
|
ergab handfeste Schwachstellen. Apples Webbrowser Safari war ungenügend |
|
gegen solche Attacken gesichert und konnte selbst nach Entdeckung des |
|
Angriffs die gefälschten Zertifikate nicht erkennen. Auch die anderen |
|
Browser-Hersteller mussten mit Updates auf den Angriff reagieren. |
|
|
|
Fraglich ist, ob alle gefälschten Zertifikate gefunden wurden. Der "Comodo |
|
Hacker" behauptet, zwei weitere Unternehmen erfolgreich angegriffen zu |
|
haben. Unterdessen beraten Sicherheitsexperten, wie man ähnliche Angriffe |
|
in Zukunft ausschließen kann. Auf dem Treffen der Internet Engineering Task |
|
Force in Prag wurden Gegenmaßnahmen beraten. Zum Beispiel sollen Provider |
|
in einem Verzeichnis eintragen, welcher Zertifikatsanbieter für welche |
|
Domain zuständig ist. |
|
|
|
Das wiederum setzt voraus, dass alle Anbieter sorgfältig arbeiten. Google |
|
hat schon mit einer prophylaktischen Sammlung von SSL-Zertifikaten |
|
begonnen. So will die Firma den Nutzer vor unerwarteten Zertifikatswechseln |
|
schützen. Ob eine solche Sammlung, wirklich sinnvoll ist, muss sich noch |
|
zeigen. Denn im Fall der Fälle muss sich der Nutzer entscheiden: Vertraut |
|
er Google oder dem Anbieter, dessen Webseite er aufrufen will? |
|
|
|
8 Apr 2011 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.wired.com/threatlevel/2011/03/comodo-compromise/ |
|
[2] http://pastebin.com/74KXCaEZ |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## ARTIKEL ZUM THEMA |
