Falsches Zertifikat: Google stand fünf Wochen offen
Unbekannten ist es gelungen, an ein SSL-Zertifikat zu kommen, dass von Browsern als reguläres Zertifikat für Google-Dienste interpretiert wurde. Dadurch waren sie in der Lage, mit Man-in-the-middle-Angriffen Zugang zu Nutzerkonten zu erlangen.
"Das ist ein Joker für sämtliche Google-Domains", erklärte Roel Schouwenberg, Leiter der Malware-Forschung beim russischen Security-Dienstleister Kaspersky Labs, die Lage gegenüber dem Magazin '
Diese hätte sich dann als originales Google-Angebot ausweisen können. Auf diese Weise kommt man an Nutzerdaten, ohne, dass die betroffenen Anwender auch nur eine Chance haben, das Problem zu erkennen. Ausgegeben hatte das falsche Zertifikat der niederländische Dienstleister DigiNotar.
Aktuell ist noch unklar, was schief gelaufen ist. Möglich wäre einerseits ein Fehler seitens eines Mitarbeiters von DigiNotar, aber auch ein Einbruch in das Zertifikat-Vergabesystem ist denkbar. Von dem Unternehmen gibt es dazu aktuell noch keine Stellungnahme.
Die Bürgerrechts-Organisation Electronic Frontier Foundation (EFF) will
Fünf Wochen blieb das falsche Zertifikat unentdeckt. Aufgeflogen ist es nun offenbar durch eine neue Sicherheits-Funktion in Googles
Die großen Browser-Hersteller haben inzwischen reagiert. Da unklar ist, ob es sich bei dem Vorgang um einen Einzelfall handelt, hat Microsoft vorsorglich alle DigiNotar-Zertifikate als ungültig eingestuft. Auch Google und Mozilla haben inzwischen entsprechende Updates für ihre Produkte angekündigt.
Schouwenberg forderte DigiNotar auf, schnellstens für Klarheit zu sorgen. Sollten noch mehr falsche Zertifikate im Umlauf sein seien nämlich nicht nur ein paar E-Mail-Postfächer in Gefahr. Auch die Glaubwürdigkeit der Verschlüsselung in eGouvernment-Angeboten und im Online-Banking stünde dann nämlich zur Debatte.
Falsche SSL-Zertifikate: 500 weitere Seiten betroffen
Die Untersuchungen hinsichtlich des gefälschten SSL-Zertifikats für Google-Dienste haben ergeben, dass das Problem ein weitaus größeres Ausmaß hat, als bisher auch nur ansatzweise angenommen. Die Angreifer, die sich Zugang zu dem Zertifizierungs-System des niederländischen Unternehmens DigiNotar verschafften, stellten sich über 500 weitere Zertifikate aus.
Unter deren Zuhilfenahme war es möglich, sich als rechtmäßiger Betreiber einer verschlüsselt übertragenen Webseite auszugeben, auch wenn man den Nutzer auf ein gefälschtes Angebot gelockt hat. Im Fall von Google bedeutete dies, dass man beispielsweise die Login-Daten zum E-Mail-Service abgreifen kann, während auch ein erfahrener, vorsichtiger Anwender der Annahme ist, per SSL mit dem echten Google-Server verbunden zu sein.
Bei einer Sichtung der Protokolle fanden Sicherheitsexperten verschiedener Firmen und Institutionen unter anderem gefälschte Zertifikate die für die Domains von Microsoft, Twitter und Facebook ausgestellt waren. Aber auch die Schlüssel für die Webseiten der Geheimdienste CIA (USA), MI6 (Großbritannien) und Mossad (Israel) wurden gefälscht.
Wie ernst der Zwischenfall genommen werden muss, verdeutlicht das Vorgehen der niederländischen Regierung, die in ihre eGouvernment-Dienste ebenfalls mit DigiNotar-Zertifikaten gesichert hat. Innenminister Piet Hein Donner berief noch in der Nacht von Freitag auf Samstag um 00:30 Uhr eine Pressekonferenz ein.
Auf dieser
Die Verantwortlichen bei DigiNotar stehen wegen ihres Verhaltens massiv in der Kritik. Die Firma hatte schon seit Juli Kenntnis von einem Problem, auch wenn erst einmal nicht bekannt war, welchen Umfang dieses hatte. Nach
Bei DigiNotar handelte man allerdings entweder fahrlässig oder versuchte den Vorfall zu vertuschen, um einen Schaden vom Firmen-Image abzuhalten. Welche Option nun auch immer der Realität entspricht - in einem Bereich, in dem Vertrauen die Basis der Geschäftstätigkeit ist, dürfte das Unternehmen kaum noch einmal die Chance haben, neue Kunden zu finden. Bis zu einem Ende von DigiNotar scheint es nur noch eine Frage der Zeit zu sein.
Quelle: winfuture
Unbekannten ist es gelungen, an ein SSL-Zertifikat zu kommen, dass von Browsern als reguläres Zertifikat für Google-Dienste interpretiert wurde. Dadurch waren sie in der Lage, mit Man-in-the-middle-Angriffen Zugang zu Nutzerkonten zu erlangen.
"Das ist ein Joker für sämtliche Google-Domains", erklärte Roel Schouwenberg, Leiter der Malware-Forschung beim russischen Security-Dienstleister Kaspersky Labs, die Lage gegenüber dem Magazin '
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
'. Angreifer hätten das Zertifikat beispielsweise nutzen können, um Nutzer mit gefälschten DNS-Einträgen auf ihre eigene Seite zu locken. Diese hätte sich dann als originales Google-Angebot ausweisen können. Auf diese Weise kommt man an Nutzerdaten, ohne, dass die betroffenen Anwender auch nur eine Chance haben, das Problem zu erkennen. Ausgegeben hatte das falsche Zertifikat der niederländische Dienstleister DigiNotar.
Aktuell ist noch unklar, was schief gelaufen ist. Möglich wäre einerseits ein Fehler seitens eines Mitarbeiters von DigiNotar, aber auch ein Einbruch in das Zertifikat-Vergabesystem ist denkbar. Von dem Unternehmen gibt es dazu aktuell noch keine Stellungnahme.
Die Bürgerrechts-Organisation Electronic Frontier Foundation (EFF) will
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
darauf gefunden, dass das falsche SSL-Zertifikat in den Händen iranischer Behörden lag. Diese könnten den digitalen Ausweis genutzt haben, um die E-Mail-Konten von Oppositionellen auszuspionieren. Fünf Wochen blieb das falsche Zertifikat unentdeckt. Aufgeflogen ist es nun offenbar durch eine neue Sicherheits-Funktion in Googles
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Chrome. Dieser verlässt sich inzwischen nicht mehr nur darauf, dass ein Zertifikat scheinbar echt ist, sondern auch, ob es von der richtigen Ausgabestelle stammt. Die großen Browser-Hersteller haben inzwischen reagiert. Da unklar ist, ob es sich bei dem Vorgang um einen Einzelfall handelt, hat Microsoft vorsorglich alle DigiNotar-Zertifikate als ungültig eingestuft. Auch Google und Mozilla haben inzwischen entsprechende Updates für ihre Produkte angekündigt.
Schouwenberg forderte DigiNotar auf, schnellstens für Klarheit zu sorgen. Sollten noch mehr falsche Zertifikate im Umlauf sein seien nämlich nicht nur ein paar E-Mail-Postfächer in Gefahr. Auch die Glaubwürdigkeit der Verschlüsselung in eGouvernment-Angeboten und im Online-Banking stünde dann nämlich zur Debatte.
Falsche SSL-Zertifikate: 500 weitere Seiten betroffen
Die Untersuchungen hinsichtlich des gefälschten SSL-Zertifikats für Google-Dienste haben ergeben, dass das Problem ein weitaus größeres Ausmaß hat, als bisher auch nur ansatzweise angenommen. Die Angreifer, die sich Zugang zu dem Zertifizierungs-System des niederländischen Unternehmens DigiNotar verschafften, stellten sich über 500 weitere Zertifikate aus.
Unter deren Zuhilfenahme war es möglich, sich als rechtmäßiger Betreiber einer verschlüsselt übertragenen Webseite auszugeben, auch wenn man den Nutzer auf ein gefälschtes Angebot gelockt hat. Im Fall von Google bedeutete dies, dass man beispielsweise die Login-Daten zum E-Mail-Service abgreifen kann, während auch ein erfahrener, vorsichtiger Anwender der Annahme ist, per SSL mit dem echten Google-Server verbunden zu sein.
Bei einer Sichtung der Protokolle fanden Sicherheitsexperten verschiedener Firmen und Institutionen unter anderem gefälschte Zertifikate die für die Domains von Microsoft, Twitter und Facebook ausgestellt waren. Aber auch die Schlüssel für die Webseiten der Geheimdienste CIA (USA), MI6 (Großbritannien) und Mossad (Israel) wurden gefälscht.
Wie ernst der Zwischenfall genommen werden muss, verdeutlicht das Vorgehen der niederländischen Regierung, die in ihre eGouvernment-Dienste ebenfalls mit DigiNotar-Zertifikaten gesichert hat. Innenminister Piet Hein Donner berief noch in der Nacht von Freitag auf Samstag um 00:30 Uhr eine Pressekonferenz ein.
Auf dieser
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
er, dass man die Geschäftsbeziehungen zu DigiNotar abbrechen und sich einen neuen Anbieter von Zertifikaten suchen werde. Zwar werde man die Webseiten der Regierung nicht vom Netz nehmen, da sie verschiedene wichtige Informationen enthalten. Die Nutzer werden beim Besuch aber gewarnt, dass die Sicherheit nicht mehr gewährleistet ist. Von der Kommunikation mit Ämtern über das Web soll daher abgesehen werden, bis neue Zertifikate vorliegen. Die Verantwortlichen bei DigiNotar stehen wegen ihres Verhaltens massiv in der Kritik. Die Firma hatte schon seit Juli Kenntnis von einem Problem, auch wenn erst einmal nicht bekannt war, welchen Umfang dieses hatte. Nach
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
der Entwickler von Mozilla, hätte man umgehend die Browser-Hersteller informieren und für Transparenz sorgen müssen. Bei DigiNotar handelte man allerdings entweder fahrlässig oder versuchte den Vorfall zu vertuschen, um einen Schaden vom Firmen-Image abzuhalten. Welche Option nun auch immer der Realität entspricht - in einem Bereich, in dem Vertrauen die Basis der Geschäftstätigkeit ist, dürfte das Unternehmen kaum noch einmal die Chance haben, neue Kunden zu finden. Bis zu einem Ende von DigiNotar scheint es nur noch eine Frage der Zeit zu sein.
Quelle: winfuture
