Werbung
Die nach dem Einbruch bei der niederländischen Zertifizierungstelle DigiNotar kommen immer neue bedenkliche Details über das Ausmaß des Angriffs ans Licht. Während zu Beginn lediglich klar war, dass zumindest ein gefälschtes Zertifikat für Google-Subdomains aktiv und im Umlauf war, stieg deren Zahl zunächst auf rund 250 und ist nun bei über 500 angelangt. Die Angreifer konnten sich offenbar für zahlreiche relevante Seiten und Dienste SSL-Zertifikate ausstellen, ohne dass DigiNotar nach Entdeckung des Einbruchs darüber informierte. Mittlerweile haben auch die Niederlande dem Zertifizierer das Vertrauen entzogen und aktuell sogar die Kontrolle über das Unternehmen übernommen.
Davon betroffen sind unter anderem offizielle Service-Seiten, gegenüber der sich die niderländische Bevölkerung mit einer Bürger-ID authentifizieren kann. Bis ein neues SSL-Zertifikat von einer anderen Firma ausgestellt worden ist, werden Nutzer gewarnt, dass die Seite unsicher ist. Bisher stellte DigiNotar zum einen für offizielle Webseiten die SSL-Zertifikate zur Verfügung, zum anderen erstellten die niederländischen Behörden Zertifikate im eigenen Namen über DigiNotar. Diese wurden für das "PKIoverheid"-System genutzt, bei der die Bürger eine qualifizierte Signatur erhalten, um sich im Netz rechtsicher gegenüber Dienstleistern und Behörden authentifizieren zu können. Zum anderen wurden die entsprechenden Gegenstellen bei den Behörde mit Zertifikaten von DigiNotar ausgestattet. Bislang hies es, die Angreifer hätte nur auf die Infrastruktur für die SSL-Zertifikate Zugriff gehabt, nicht aber auf die für die PKI. Offenbar hat man kein Vertrauen mehr, dass dies auch so bleibt und hat die Kontrolle über die Zertifizierung übernommen. Besonders bedenklich ist die Tatsache, dass die Behörden nicht etwa ursprünglich durch den angegriffenen Herausgeber der Zertifikate informiert wurde, sondern von einer iranischen Quelle.
Auch sonst wird die Informationspolitik von DigiNotar und der Mutterfirma VASCO heftig kritisiert, die sich lediglich auf ein knappes Statement und die Aussage beschränkt und einer Anleitung, wie man dem Root-Zertifikat wieder vertraut. Eine Woche nach dem das gefälschte Zertifikat für Google aufgefallen war, sind über die niederländische Regierung und das Tor-Projekt eine Liste von 531 betroffenen Domains bekannt geworden.
So hat sich der Angreifer Zertifikate für die Webseiten von Geheimdiensten wie CIA, MI6 und Mossad ausgestellt. Auch für Microsoft, Windows Update, Twitter, Facebook, Mozilla und die Tor-Project-Seite hatte man Zertifikate angelegt. Über weitere Einträge hat man sich ebenso als Zwischenstelle für andere Zertifizierungsstellen ausgegeben, um unabhängig weitere SSL-Zertifikate ausstellen zu können. Zwar dürfte kaum eine der Fälschungen zum Einsatz gekommen sein und die meisten von DigiNotar rechtzeitig für ungültig erklärt worden sein. Doch durch die Natur der meisten Browser, auch SSL-Zertifikate anzuerkennen, falls man keine Verbindung zu den Listen mit ungültigen und zurückgezogenen Exemplaren herstellen kann, ist ein Gefährdungspotential gegeben. Während Google in Chrome alle gefährlichen Zertifikate zwecks Sperrung in den Quellcode aufgenommen hat, hat Mozilla dauerhaft DigiNotar aus der Liste der vertrauenswürdigen Herausgeber per Update entfernt.
Die Hinweise, dass der Iran oder ein iranischer Hacker hinter dem Angriff stecken könnten, verdichtet sich hingegen weiter. Zunächst fiel der das gefälschte Zertifikat für Google Mail iranischen Nutzern auf. Zudem taucht in der Liste der gefälschten Zertifikate eine Seite mit persischen Namen auf, die übersetzt "great cracker" heißen würde und das auf einen Inhaber ausgestellt wurde, der übersetzt "I will crack all encryption" heißen würde. Die angegriffenen Seiten suggerieren auch ein Muster, dass zum einem Verschlüsselungssoftware wie Tor angreift, ebenso wie Kommunikationsdienste im Ausland und Dienste, die per Update die Zertifikate unschädlich machen könnten. Offiziell plant der Iran zwar ein eigenes abgeschottetes Netz, welches angeblich den religiösen Vorgaben genüge tun soll, andererseits scheint man aber auch zu versuchen die verschlüsselte Kommunikation auf ausländischen Servern anzugreifen, um die eigene Bevölkerung zu überwachen.
Weiterführende Links: