Werbung
Laut übereinstimmenden Berichten von möglicherweise betroffenen iranischen Usern und Sicherheitsexperten, ist seit mehreren Wochen ein falsches Zertifikat für alle google.com-Domains im Einsatz. Dieses wurde von der niederländischen Firma DigiNotar ausgestellt und angeblich vom Iran zum Ausspionieren von iransichen Google-Mail-Nutzern verwendet worden. DigiNotar gilt in den meisten Browsern bisher als vertrauenswürdige Zertifizierungsstelle (CA) und wird daher auch nicht beanstandet.
Eigentlich sollen verschlüsselte Verbindungen im Netz für mehr Sicherheit sorgen. Zum einen vor Kriminellen, die sensible Daten abfangen wollen, zum andernen aber auch immer mehr zum Schutz der Privatsphäre, die speziell durch staatliche Stellen eingeschränkt werden könnte. Insbesondere in autoritären Regimen gibt es reges Interesse daran, alle Inhalte und eventuell nicht genehme Meinungen zu überwachen. Um sicherzustellen, dass der Server mit dem man sich verschlüsselt verbindet, auch der ist, für den er sich ausgibt, werden üblicherweise Zertifikate verwendet. Ansonsten wäre es über eine sogenannte Man-in-the-Middle-Attacke möglich, sich in die Kommunikation zwischen den beiden Seiten zu hängen und auch die benötigten Schlüssel zum entziffern der Nachricht abzufangen. Entsprechende Zertifikate kann allerdings jeder selbst erstellen, weshalb die Browser eine Liste mit vertrauenswürdigen Zertifizierungsstellen mitliefern, um den User nicht bei jedem Aufruf zu fragen, ob er diesem Zertifikat vertrauen will. Scheint das Zertifikat von einer solchen Stelle zu stammen, wird es grundsätzlich nicht beanstandet und ihm automatich vertraut.
Dies wurde in der aktuellen Attacke Google zum Verhängnis, obwohl die Firma selbst darauf keine Einfluss hatte. Unter noch ungeklärten Umständen hat die CA DigiNotar am 10. Juli ein Zertifikat für *.google.com ausgestellt. Jedoch gelangte nicht Google an das Zertifikat sondern eine bisher nicht bekannte dritte Stelle. Die Electronic Frontier Foundation (EFF) vermutet die iranische Regierung als Auftraggeber. Mit diesem Zertifikat wäre es relativ einfach sich als legitime Google-Seite auszugeben und die gesendeten Daten nicht nur über den eigenen Server zu leiten, sondern auch verschlüsselte Informationen mitzulesen. Aufgefallen ist die Attacke nach mehren Wochen, weil Google mittlerweile in seinem Browser Chrome auch Informationen über die eigenen Zertifikate mitliefert. Stimmen das von Google selbst eingesetzte Zertifikat und das vermeintlich echte Zertifikat der besuchten Seite nicht über ein, schlägt Chrome ab der 13. Ausgabe Alarm. Eine entsprechen Warnung bekam der iranische Nutzer zu sehen, der sich dann bei Google meldete.
Mittlerweile haben die Browser-Hersteller reagiert und entfernen nach und nach die DigiNotar-Zertifikate. Während Microsoft die Zertifikate bei Windows Vista und Windows 7 von seiner Vertrauensliste gestrichen hat, haben Google für Chrome und Mozilla für Firefox, Sea Monkey und Thunderbird entsprechende Updates angekündigt. Windows XP wird von Microsoft ebenso einen Patch erhalten. Die Mozialla Foundation hat zudem eine Anleitung veröffentlicht, wie man das Zertifikat selber entfernen kann. Bereits im März 2011 war der Dienstleister Comodo gehackt wurden und dabei eine Reihe echter Zertifikate unter anderem für Google und Mozillae entwendet worden. Auch hier mussten die Hersteller mit entsprechenden Updates reagieren.
Update 21:19 Uhr:
Wie VASCO, der Mutterkonzern von DigiNotar, in einer Pressemitteilung bekannt geben hat, sollen die falschen Zertifikate während eines Einbruchs in die Zertifizierungsinfratruktur von DigiNotar erstellt worden sein. Dies geschah offenbar nicht nur für Google-Adressen. Als man den Einbruch entdeckte, habe man alle üblichen Regeln und Abläufe eingehalten. Eine externe Sicherheitsprüfung habe zudem ergeben, dass alle falschen Zertifikate zurückgezogen worden sein. Man habe jedoch kürzlich bemerkt, dass mindestens ein falsches Zertifikat - ausgerechnet das für Google - nicht entdeckt wurde. Erst als die holländische Regierung die Firma darauf aufmerksam machte, hat DigiNotar dieses dann "sofort" zurückgezogen.
Man wolle nun vorerst auf die weitere Ausstellung von SSL-Zertifikaten verzichten, bis man die Infrastruktur gesichert habe und durch externe Unternehmen überprüft habe. Unklar ist, warum dies nicht in ausreichendem Maße nach dem für die SSL-Infrastruktur im Netz gravierenden Einbruch passierte. Man betont in der Meldung dass die anderne Tätigkeiten der Firma von dem Angriff nicht betroffen gewesen seien. Dies betrifft vorallem die Ausstellung von Zertifikaten für "PKIOverheid" in den Niederlanden, eine Public-Key-Infrastruktur unter anderem für elektronische Signaturen. Die vorübergehende Einstellung habe auch keine Auswirkungen auf die Geschäftszahlen.
Weiterführende Links: