Start Empfohlen DigiNotar-Skandal verschärft sich: Über 500 betrügerische Zertifikate ausgestellt, fünf CAs verletzt

DigiNotar-Skandal verschärft sich: Über 500 betrügerische Zertifikate ausgestellt, fünf CAs verletzt

17
0


Der Hacker, der die DigiNotar-Zertifizierungsstelle verletzt hat ist rausgekommen, oder zumindest behauptet. Er scheint derselbe Hacker zu sein, der vor einigen Monaten in Comodo, eine andere CA, eingedrungen ist. (Hutspitze zu F-Sicher.) „COMODOHACKER“ scheint ein Problem mit der niederländischen Regierung zu haben.

Er behauptet, zahlreiche ausgeklügelte Schutzmaßnahmen in den Systemen von DigiNotar überwunden zu haben, deren Details er später preisgeben wird, und dass er den internen Zugriff auf vier andere „hochrangige“ CAs behält und immer noch betrügerische Zertifikate von ihnen ausstellen kann. Er behauptet auch, dass das Kennwort für das Konto PRODUCTIONAdministrator (der Domänenadministrator des Zertifikatsnetzwerks) „[email protected]“.

Je mehr Details über den eigentlichen Hack bekannt werden, desto schlimmer werden die Nachrichten. Zu den ausgestellten betrügerischen Zertifikaten gehörten die Wildcards *.*.com und *.*.org. Einige der besten Details finden Sie in dieser Blogbeitrag beim TOR-Projekt.

Das TOR-Posting enthält einen Link zu einer Tabelle mit 531 Schurkenzertifikaten, die von COMODOHACKER im Auftrag von DigiNotar ausgestellt wurden. Einer von ihnen scheint eine Visitenkarte zu sein. Ich zitiere das TOR-Posting:

„Besonders bemerkenswert ist dieses Zertifikat:
CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Schinken Mishkanam,L=Teheran,O=Hameye Ramzaro Mishkanam,C=IR
Der Text hier scheint ein Eintrag wie jeder andere zu sein, ist aber tatsächlich eine Visitenkarte eines Farsi-Sprechers. RamzShekaneBozorg.com ist zum jetzigen Zeitpunkt keine gültige Domain.
Dank eines anonymen Farsi-Sprechers verstehe ich jetzt, dass das obige Zertifikat eigentlich ein Kommentar für jeden ist, der sich die Mühe macht, zwischen den Zeilen zu lesen:
„RamzShekaneBozorg“ ist „großartiger Kracher“
„Hameyeh Ramzaro Mishkanam“ bedeutet übersetzt „Ich werde alle Verschlüsselungen knacken“
„Sare Toro Ham Mishkanam“ bedeutet übersetzt „Ich hasse / zerbreche dir den Kopf“

Reaktionen aus dem gesamten Web rollen weiterhin ein. Microsoft hat aktualisiert ihre Reaktion darauf. Sie weisen die Bedeutung des Zertifikats *.windowsupdate.com zurück, da die Domäne nicht verwendet wird und die Update-Software von Microsoft mehrere Schutzmechanismen gegen falsche Updates bietet. Sie notieren das Zertifikat *.microsoft.com, machen aber keine besonderen Bemerkungen dazu.

Benutzer von Vista, Windows 7, Windows Server 2008 und 2008 R2 sind seit einiger Zeit vor diesen betrügerischen Zertifikaten geschützt, da Microsoft eine von ihnen verwaltete Online-CA-Liste aktualisiert hat. Für Benutzer von Windows XP und Windows Server 2003 ist das Bild weniger klar. KB2607712 sagt, dass „Microsoft wird ein zukünftiges Update veröffentlichen, um dieses Problem für alle unterstützten Editionen von Windows XP und Windows Server 2003 zu beheben.„Sind sie noch verwundbar? Das Fehlen einer Behauptung, dass sie es nicht sind, scheint eine Bestätigung dafür zu sein.

Der Malware-Blog von Trend Micro argumentiert, dass diese Zertifikate wurden verwendet, um iranische Internetnutzer im großen Stil auszuspionieren. Die Zertifikate wurden von Benutzern im ganzen Land angetroffen.

Das sagt Roel Schouwenberg von Kaspersky Der DigiNotar-Skandal könnte wichtiger werden als Stuxnet, nicht wegen Raffinesse, sondern wegen unheilvoller Konsequenzen. DigiNotar hatte eine CA betrieben, die für holländische Regierungsgeschäfte verwendet wurde, und diese CA wird vermutlich ebenfalls defekt. Behördendienste und Kommunikation wurden unterbrochen. Schouwenberg: „Aus diesem Grund könnte man argumentieren, dass der Angriff ein Akt des Cyberkriegs ist.„Er äußert sich auch besorgt darüber, dass Apple weder Maßnahmen ergriffen hat, um die gefälschten Zertifikate zu widerrufen, noch angekündigte Ankündigungen gemacht hat.

Viele behaupten, dass dies ein Beweis für das Versagen des CA-Systems ist. Ich bin mir nicht sicher, ob es sich lohnt, so weit zu gehen, aber dieser Vorfall unterstreicht die Hauptschwäche dieses Systems, nämlich das große Vertrauen, das Client-Software, hauptsächlich Webbrowser, und damit die Benutzer dieser Programme den Zertifizierungsstellen entgegenbringen. Sind die CAs nicht vertrauenswürdig, bricht die Sicherheit des Systems zusammen.

Bildnachweis: Jimmi/Shutterstock

Larry Seltzer ist freiberuflicher Autor und Berater und beschäftigt sich hauptsächlich mit Sicherheitsfragen. Er hat kürzlich für Infoworld, eWEEK, Dr. Dobb’s Journal geschrieben und ist Mitherausgeber beim PC Magazine und Autor des Security Watch-Blogs. Er hat auch für Symantec Authentication (ehemals VeriSign) und die Intelligent Whitelisting-Site von Lumension geschrieben.



Vorheriger ArtikelNorton Security 2012: Besserer Schutz, weniger Aufwand
Nächster ArtikelAuf der Suche nach Arbeit und ein Angebot per E-Mail erhalten? Kriminelle wollen, dass du ihr Geld-Maultier bist

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein