> > > > Diginotar-Hack: Noch mehr Fälschungen, Niederlande übernimmt Kontrolle

Diginotar-Hack: Noch mehr Fälschungen, Niederlande übernimmt Kontrolle

DruckenE-Mail
Erstellt am: von

hardwareluxx_news_newDie nach dem Einbruch bei der niederländischen Zertifizierungstelle DigiNotar kommen immer neue bedenkliche Details über das Ausmaß des Angriffs ans Licht. Während zu Beginn lediglich klar war, dass zumindest ein gefälschtes Zertifikat für Google-Subdomains aktiv und im Umlauf war, stieg deren Zahl zunächst auf rund 250 und ist nun bei über 500 angelangt. Die Angreifer konnten sich offenbar für zahlreiche relevante Seiten und Dienste SSL-Zertifikate ausstellen, ohne dass DigiNotar nach Entdeckung des Einbruchs darüber informierte. Mittlerweile haben auch die Niederlande dem Zertifizierer das Vertrauen entzogen und aktuell sogar die Kontrolle über das Unternehmen übernommen.

Davon betroffen sind unter anderem offizielle Service-Seiten, gegenüber der sich die niderländische Bevölkerung mit einer Bürger-ID authentifizieren kann. Bis ein neues SSL-Zertifikat von einer anderen Firma ausgestellt worden ist, werden Nutzer gewarnt, dass die Seite unsicher ist. Bisher stellte DigiNotar zum einen für offizielle Webseiten die SSL-Zertifikate zur Verfügung, zum anderen erstellten die niederländischen Behörden Zertifikate im eigenen Namen über DigiNotar. Diese wurden für das "PKIoverheid"-System genutzt, bei der die Bürger eine qualifizierte Signatur erhalten, um sich im Netz rechtsicher gegenüber Dienstleistern und Behörden authentifizieren zu können. Zum anderen wurden die entsprechenden Gegenstellen bei den Behörde mit Zertifikaten von DigiNotar ausgestattet. Bislang hies es, die Angreifer hätte nur auf die Infrastruktur für die SSL-Zertifikate Zugriff gehabt, nicht aber auf die für die PKI. Offenbar hat man kein Vertrauen mehr, dass dies auch so bleibt und hat die Kontrolle über die Zertifizierung übernommen. Besonders bedenklich ist die Tatsache, dass die Behörden nicht etwa ursprünglich durch den angegriffenen Herausgeber der Zertifikate informiert wurde, sondern von einer iranischen Quelle.

Auch sonst wird die Informationspolitik von DigiNotar und der Mutterfirma VASCO heftig kritisiert, die sich lediglich auf ein knappes Statement und die Aussage beschränkt und einer Anleitung, wie man dem Root-Zertifikat wieder vertraut. Eine Woche nach dem das gefälschte Zertifikat für Google aufgefallen war, sind über die niederländische Regierung und das Tor-Projekt eine Liste von 531 betroffenen Domains bekannt geworden.

So hat sich der Angreifer Zertifikate für die Webseiten von Geheimdiensten wie CIA, MI6 und Mossad ausgestellt. Auch für Microsoft, Windows Update, Twitter, Facebook, Mozilla und die Tor-Project-Seite hatte man Zertifikate angelegt. Über weitere Einträge hat man sich ebenso als Zwischenstelle für andere Zertifizierungsstellen ausgegeben, um unabhängig weitere SSL-Zertifikate ausstellen zu können. Zwar dürfte kaum eine der Fälschungen zum Einsatz gekommen sein und die meisten von DigiNotar rechtzeitig für ungültig erklärt worden sein. Doch durch die Natur der meisten Browser, auch SSL-Zertifikate anzuerkennen, falls man keine Verbindung zu den Listen mit ungültigen und zurückgezogenen Exemplaren herstellen kann, ist ein Gefährdungspotential gegeben. Während Google in Chrome alle gefährlichen Zertifikate zwecks Sperrung in den Quellcode aufgenommen hat, hat Mozilla dauerhaft DigiNotar aus der Liste der vertrauenswürdigen Herausgeber per Update entfernt.

Die Hinweise, dass der Iran oder ein iranischer Hacker hinter dem Angriff stecken könnten, verdichtet sich hingegen weiter. Zunächst fiel der das gefälschte Zertifikat für Google Mail iranischen Nutzern auf. Zudem taucht in der Liste der gefälschten Zertifikate eine Seite mit persischen Namen auf, die übersetzt "great cracker" heißen würde und das auf einen Inhaber ausgestellt wurde, der übersetzt "I will crack all encryption" heißen würde. Die angegriffenen Seiten suggerieren auch ein Muster, dass zum einem Verschlüsselungssoftware wie Tor angreift, ebenso wie Kommunikationsdienste im Ausland und Dienste, die per Update die Zertifikate unschädlich machen könnten. Offiziell plant der Iran zwar ein eigenes abgeschottetes Netz, welches angeblich den religiösen Vorgaben genüge tun soll, andererseits scheint man aber auch zu versuchen die verschlüsselte Kommunikation auf ausländischen Servern anzugreifen, um die eigene Bevölkerung zu überwachen.

Weiterführende Links:

Social Links

Kommentare (6)

#1
Registriert seit: 13.09.2008
Oben uff'm Speischer
Fregattenkapitän
Beiträge: 3046
Das ist natürlich bitter für ein Unternehmen, wenn man vom Staat quasi aus der eigenen Firma rausgeschmissen wird... :fresse:

Aber irgendwie sind sie selber Schuld, weil sie den Vorfall verschwiegen und damit ihre Vertrauenswürdigkeit verloren haben.
#2
customavatars/avatar32076_1.gif
Registriert seit: 26.12.2005
Ruhrpott
Kapitän zur See
Beiträge: 3824
Unter den Teppich kehren und hoffen, dass die ganze Wahrheit nie an die Öffentlichkeit gelangt. So geht man heutzutage am besten vor. ;)
#3
customavatars/avatar139148_1.gif
Registriert seit: 19.08.2010

Bootsmann
Beiträge: 736
Da hilft nurnoch: Bomb bomb bomb, bomb bomb Iran - YouTube :fresse:
#4
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Nein, denn auch wenn der Angriff von dort ausgegangen sein sollte, das Problem ist die angreifbare Infrastruktur bei so elementaren Dingen. Früher oder später hätten es genauso andere machen können und wer weiß wer sich da bisher schon alles bedient hat. Hätte man nicht plump hunderte Zertifikate ausgestellt, wer weiß ob es überhaupt aufgefallen wäre.

Es ist genau das was eben z.b. elektronischen Personalausweis, Gesundheitskarten und anderen eigentlich durchaus sinnvollen Vorhaben immer wieder das Genick brechen wird. Diese Sorglosigkeit lässt riesige Lücken offen und das schürt zu recht das Misstrauen, wer auf welche Daten Zugriff erlangen kann. Und wie gesagt, dass das ganze noch unter den Teppich gekehrt wird, nach dem man kolossal versagt hat.

Diesmal ist es vielleicht wirklich noch der Iran, aber andere Daten wecken andere Begehrlichkeiten. Ich bin kein Fan von Verschwörungstheorien, ich will nicht spekulieren, wer woran Interesse hat, aber alleine die Möglichkeit ist das Problem. Da helfen keine Bomben.
#5
customavatars/avatar139148_1.gif
Registriert seit: 19.08.2010

Bootsmann
Beiträge: 736
Zitat HappyMutant;17489119
Nein, denn auch wenn der Angriff von dort ausgegangen sein sollte, das Problem ist die angreifbare Infrastruktur bei so elementaren Dingen. Früher oder später hätten es genauso andere machen können und wer weiß wer sich da bisher schon alles bedient hat. Hätte man nicht plump hunderte Zertifikate ausgestellt, wer weiß ob es überhaupt aufgefallen wäre.

Es ist genau das was eben z.b. elektronischen Personalausweis, Gesundheitskarten und anderen eigentlich durchaus sinnvollen Vorhaben immer wieder das Genick brechen wird. Diese Sorglosigkeit lässt riesige Lücken offen und das schürt zu recht das Misstrauen, wer auf welche Daten Zugriff erlangen kann. Und wie gesagt, dass das ganze noch unter den Teppich gekehrt wird, nach dem man kolossal versagt hat.

Diesmal ist es vielleicht wirklich noch der Iran, aber andere Daten wecken andere Begehrlichkeiten. Ich bin kein Fan von Verschwörungstheorien, ich will nicht spekulieren, wer woran Interesse hat, aber alleine die Möglichkeit ist das Problem. Da helfen keine Bomben.
War ja auch nur ein Scherz, obwohl ich militärische Reaktionen auf Hacker-Angriffe durchaus für denkbar halte, wenn auch nicht in einem derart "harmlosen" Fall.
Und natürlich sollte man erstmal zusehen, möglicht unangreifbar zu sein, das ist gerade im Bereich Kommunikationstechnologie aber eben kaum möglich. Emails müssen nunmal im Internet sein und staatliche Hacker kommen da früher oder später rein, wenn sie unbedingt wollen.
#6
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Dass das nicht unbedingt ernst gemeint war, ist mir schon klar. Dennoch wollte ich das schon aufgreifen, weil es ja durchaus diese Meinung gibt und eben nicht immer nur im Scherz. ;)

Klar, hundertprozentige Sicherheit gibt es nicht. Aber deswegen muss man halt schauen, was man wo speichert und wie man es dem Angreifer erschwert. Verschlüsselung ist ja ein sinnvolles Mittel, aber auch nur solange die Schlüssel selbst sicher sind. :)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Nein, liebe Telekom - Vectoring ist keine Glasfaser!

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

In der vergangenen Woche kündigte die Deutsche Telekom an, dass der Ausbau von VDSL-Vectoring mit 100 MBit/s im Herbst starten soll. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down- und 40 Mbit/s im Upload bieten. Der Nachteil der Technik ist allerdings, dass durch... [mehr]

Tesla Model 3: 320 Kilometer und ein neues Cockpit für 31.000 US-Dollar

Logo von IMAGES/STORIES/LOGOS-2015/TESLA_MOTORS

Welch hohes Vertrauen Tesla genießt, zeigt heute keine andere Zahl so deutlich wie die der Vorbestellungen für das in der vergangenen Nacht vorgestellte Model 3. Rund 115.000 Exemplare wurden bereits geordert, ohne dass auch nur einer der Besteller wusste, was genau er der eigentlich kauft -... [mehr]

Intel bestätigt trotz Milliardengewinn Wegfall von 12.000 Arbeitsplätzen

Logo von IMAGES/STORIES/LOGOS-2015/INTEL3

Vor einigen Tagen wurden Gerüchte laut, dass Intel einen massiven Stellenabbau planen würde. Dieses Gerücht hat der Chipriese nun im Rahmen seiner aktuellen Quartalszahlen bestätigt. Demnach werden bis zum Jahr 2017 rund 12.000 der insgesamt 107.000 Stellen wegfallen. Die betroffenen... [mehr]

Ford baut Googles selbstfahrende Autos (Update)

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_ROBOCAR

Google ist auf der Suche nach einem Partner für seine selbstfahrenden Autos fündig geworden. Dabei soll es sich um den US-Hersteller Ford handeln. Dies zumindest berichtet das Portal Automotiv News und verweist auf gut informierte Kreise. Zwar wollten beide Unternehmen keinen Kommentar abgeben,... [mehr]

Vorinstallierte Google-Apps: EU-Kommission prüft mögliche...

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_2015

Bereits seit 2013 prüft die EU-Kommission, ob Google mit seiner Mobil-Plattform Android gegen geltendes Kartellrecht verstößt. Zum Stand der Ermittlungen hatte man sich seitdem nur vage und selten geäußert, Stillstand hat es aber nicht gegeben. Denn wie die zuständige Wettbewerbskommissarin... [mehr]

Netflix wächst weiter auf 81,5 Millionen Nutzer

Logo von IMAGES/STORIES/LOGOS-2013/NETFLIX

Netflix hat zusammen mit den jüngsten Quartalszahlen auch einen deutlichen Mitgliederzuwachs bekanntgegeben. Demnach nutzen derzeit weltweit rund 81,5 Millionen Nutzer den Streamingdienst. Während in den ersten drei Monaten des Jahres 2016 in den USA 2,23 Millionen Neukunden gewonnen werden... [mehr]