> > > > Falsches SSL-Zertifikat ermöglichte Iran das Ausspionieren von Google-Nutzern (Update)

Falsches SSL-Zertifikat ermöglichte Iran das Ausspionieren von Google-Nutzern (Update)

Veröffentlicht am: von

google100Laut übereinstimmenden Berichten von möglicherweise betroffenen iranischen Usern und Sicherheitsexperten, ist seit mehreren Wochen ein falsches Zertifikat für alle google.com-Domains im Einsatz. Dieses wurde von der niederländischen Firma DigiNotar ausgestellt und angeblich vom Iran zum Ausspionieren von iransichen Google-Mail-Nutzern verwendet worden. DigiNotar gilt in den meisten Browsern bisher als vertrauenswürdige Zertifizierungsstelle (CA) und wird daher auch nicht beanstandet.

Eigentlich sollen verschlüsselte Verbindungen im Netz für mehr Sicherheit sorgen. Zum einen vor Kriminellen, die sensible Daten abfangen wollen, zum andernen aber auch immer mehr zum Schutz der Privatsphäre, die speziell durch staatliche Stellen eingeschränkt werden könnte. Insbesondere in autoritären Regimen gibt es reges Interesse daran, alle Inhalte und eventuell nicht genehme Meinungen zu überwachen. Um sicherzustellen, dass der Server mit dem man sich verschlüsselt verbindet, auch der ist, für den er sich ausgibt, werden üblicherweise Zertifikate verwendet. Ansonsten wäre es über eine sogenannte Man-in-the-Middle-Attacke möglich, sich in die Kommunikation zwischen den beiden Seiten zu hängen und auch die benötigten Schlüssel zum entziffern der Nachricht abzufangen. Entsprechende Zertifikate kann allerdings jeder selbst erstellen, weshalb die Browser eine Liste mit vertrauenswürdigen Zertifizierungsstellen mitliefern, um den User nicht bei jedem Aufruf zu fragen, ob er diesem Zertifikat vertrauen will. Scheint das Zertifikat von einer solchen Stelle zu stammen, wird es grundsätzlich nicht beanstandet und ihm automatich vertraut.

Dies wurde in der aktuellen Attacke Google zum Verhängnis, obwohl die Firma selbst darauf keine Einfluss hatte. Unter noch ungeklärten Umständen hat die CA DigiNotar am 10. Juli ein Zertifikat für *.google.com ausgestellt. Jedoch gelangte nicht Google an das Zertifikat sondern eine bisher nicht bekannte dritte Stelle. Die Electronic Frontier Foundation (EFF) vermutet die iranische Regierung als Auftraggeber. Mit diesem Zertifikat wäre es relativ einfach sich als legitime Google-Seite auszugeben und die gesendeten Daten nicht nur über den eigenen Server zu leiten, sondern auch verschlüsselte Informationen mitzulesen. Aufgefallen ist die Attacke nach mehren Wochen, weil Google mittlerweile in seinem Browser Chrome auch Informationen über die eigenen Zertifikate mitliefert. Stimmen das von Google selbst eingesetzte Zertifikat und das vermeintlich echte Zertifikat der besuchten Seite nicht über ein, schlägt Chrome ab der 13. Ausgabe Alarm. Eine entsprechen Warnung bekam der iranische Nutzer zu sehen, der sich dann bei Google meldete.

Mittlerweile haben die Browser-Hersteller reagiert und entfernen nach und nach die DigiNotar-Zertifikate. Während Microsoft die Zertifikate bei Windows Vista und Windows 7 von seiner Vertrauensliste gestrichen hat, haben Google für Chrome und Mozilla für Firefox, Sea Monkey und Thunderbird entsprechende Updates angekündigt. Windows XP wird von Microsoft ebenso einen Patch erhalten. Die Mozialla Foundation hat zudem eine Anleitung veröffentlicht, wie man das Zertifikat selber entfernen kann. Bereits im März 2011 war der Dienstleister Comodo gehackt wurden und dabei eine Reihe echter Zertifikate unter anderem für Google und Mozillae entwendet worden. Auch hier mussten die Hersteller mit entsprechenden Updates reagieren.

Update 21:19 Uhr:

Wie VASCO, der Mutterkonzern von DigiNotar, in einer Pressemitteilung bekannt geben hat, sollen die falschen Zertifikate während eines Einbruchs in die Zertifizierungsinfratruktur von DigiNotar erstellt worden sein. Dies geschah offenbar nicht nur für Google-Adressen. Als man den Einbruch entdeckte, habe man alle üblichen Regeln und Abläufe eingehalten. Eine externe Sicherheitsprüfung habe zudem ergeben, dass alle falschen Zertifikate zurückgezogen worden sein. Man habe jedoch kürzlich bemerkt, dass mindestens ein falsches Zertifikat - ausgerechnet das für Google -  nicht entdeckt wurde. Erst als die holländische Regierung die Firma darauf aufmerksam machte, hat DigiNotar dieses dann "sofort" zurückgezogen.

Man wolle nun vorerst auf die weitere Ausstellung von SSL-Zertifikaten verzichten, bis man die Infrastruktur gesichert habe und durch externe Unternehmen überprüft habe. Unklar ist, warum dies nicht in ausreichendem Maße nach dem für die SSL-Infrastruktur im Netz gravierenden Einbruch passierte. Man betont in der Meldung dass die anderne Tätigkeiten der Firma von dem Angriff nicht betroffen gewesen seien. Dies betrifft vorallem die Ausstellung von Zertifikaten für "PKIOverheid" in den Niederlanden, eine Public-Key-Infrastruktur unter anderem für elektronische Signaturen. Die vorübergehende Einstellung habe auch keine Auswirkungen auf die Geschäftszahlen. 

Weiterführende Links:

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

es liegen noch keine Tags vor.

Kommentare (10)

#1
customavatars/avatar32263_1.gif
Registriert seit: 28.12.2005
BRD - Lübeck
Stabsgefreiter
Beiträge: 338
scheiss Iran
#2
customavatars/avatar123657_1.gif
Registriert seit: 20.11.2009
Mark Brandenburg
Oberleutnant zur See
Beiträge: 1369
Wie der Rest Asiens, bzw. der größte Teil des Rests
#3
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Diskutiert bitte sachlich. Es wurde den Kommentaren zu solchen Themen bewusst etwas mehr Möglichkeiten als früher eingeräumt, aber wenn das nicht klappt, kann man das auch ändern. Und solche Beiträge sind der beste Weg dahin. Bitte beachtet dazu auch das:

http://www.hardwareluxx.de/community/f278/sonstige-news-infopost-832459.html
#4
customavatars/avatar27751_1.gif
Registriert seit: 26.09.2005
Zürich, Schweiz
Bootsmann
Beiträge: 515
Und was glaubst du was die Virenscanner machen? Sind doch die besten Spionagetools selbst. Ein kleines "Update" als Upload. Ein kleiner Scan auf der Platte da :-P
#5
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Es geht hier ja nicht darum, an was ich glaube. Ja, auch Virenscanner oder sämtliche andere Tools, die mit dem Netz Daten austauschen und als vertrauenswürdig wahrgenommen werden, können heimlich missbraucht werden.

Nur es gibt eben Vorkehrungen der Hersteller, dass dies nicht so einfach passiert. Weiterhin bleiben Rückstände auf dem Rechner, die sich analysieren lassen, wenn es massenhaft eingesetzt wird. Wenn es passiert, ist wie hier das Vertrauen dahin und die Bude kann zu sperren. Von daher haben Beide Seiten Interesse soweit alles sauber zu halten.

Das perfide an Man in the Middle Attacken ist, dass sie nur schwer zu entdecken sind, weil dieser Angreifer dafür sorgen kann, dass für dich soweit alles normal aussieht. Genau dagegen sollen Verschlüsselung und Zertifikate helfen. Wenn die Verschlüsselung oder die Zertifikatvergabe Schwachpunkte hat, dann ist das ein tatsächliches und reales Problem, kein lediglich theoretisches Angriffsszenario.
#6
customavatars/avatar58091_1.gif
Registriert seit: 15.02.2007

Obergefreiter
Beiträge: 97
öhm schonmal dran gedacht, die Sache mal aus einem anderen Blickwinkel zu betrachten?
Ich kann nur empfehlen sich mal den kleinen Artikel durchzulesen http://blog.fefe.de/?ts=b0a3db88
#7
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Ja, nur das ist kein Artikel. Es ist die private Meinung von Fefe. Aber der Blogeintrag ist mir bekannt. Die News ist jedoch nicht meine private Plattform, sondern soll die Fakten möglichst umfassend wiedergeben, damit sich der Leser seine eigene Meinung darüber bilden kann.

Und welchen anderen Blickwinkel meinst du? Meine persönliche Meinung hier im Thread ist, dass da ziemlicher Mist von Seiten einer Firma gemacht wurde, die eigentlich gerade für Sicherheit im Netz bürgen soll. Und nicht nur da. Firmen die so daneben langen haben nichts anderes verdient, als was jetzt passiert ist, nämlich dass ihnen von allen Seiten das Vertrauen entzogen wird.

Was genau steht da anderes bei Fefe deiner Meinung nach?
#8
customavatars/avatar58091_1.gif
Registriert seit: 15.02.2007

Obergefreiter
Beiträge: 97
Artikel hin Meinung her, ich fand halt das was ich an Kommentaren hier lesen durfte etwas naja sagen wir mal dürftig.
Meiner Meinung nach hätte hier auch etwas besser hervorgehoben werden können was so eine Pressemitteilung eigentlich für so ein Unternehmen bedeutet, hab da nämlich die gleiche Meinung aber das werden wohl nicht viele hier heraus lesen können.Zu mindest nach den ersten 2 Kommentaren zu Urteilen.
#9
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Natürlich sind die ersten beiden Kommentare nicht gut. Habe ich ja schon was dazu geschrieben und ich hoffe das wird sich in Zukunft auch einprägen. :)

Pressmitteilungen sind immer so eine Sache. Da ist man manches Mal geneigt auf die Lobhudelei drauf zu hauen, da gibt es jeden Tag schön Exemplare. Aber im Endeffekt muss da einfach kritisch rangehen und die Fakten rausfiltern. Eine News darf aber auch kein Kommentar, eine Kolumne oder persönliche Meinung werden werden, selbst wenn das verlockend ist.

Also ich verstehe jetzt schon was du meinst, aber genau dafür gibt es ja das Forum und auch ich werde in Zukunft auch etwas stärker auf die Qualität der Antworten achten. :D
#10
customavatars/avatar52861_1.gif
Registriert seit: 03.12.2006
Mars
Leutnant zur See
Beiträge: 1217
Mhhh das stimmt schon, aber manchmal bin ich auch dankbar für die "hingeklatschten" Kommentare wie die am Anfang. Auch wenn es weder sachlich noch konstruktiv ist und auch keine Diskussion fördert, so können ein paar Worte doch manchmal ausdrücken was der eine oder andere im ersten Moment denkt oder emotional durch den Kopf geht.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Lohnt das Mining für den Privatanwender noch?

Logo von IMAGES/STORIES/2017/ETHEREUM

Bestimmte Grafikkartenmodelle sind schlecht verfügbar und einige Hersteller präsentieren sogar spezielle Mining-Modelle – bestes Anzeichen dafür, dass eine neue Mining-Welle anrollt. Ethereum basiert wie Bitcoins auf einer Blockchain-Technologie. Ethereum ist aber keine reine Kryptowährung,... [mehr]

Deutschen Bahn trainiert Mitarbeiter in der virtuellen Realität

Logo von IMAGES/STORIES/2017/DEUTSCHE_BAHN

Nicht nur das autonome Fahren auf der Straße spielt auf der GPU Technology Conference in München eine Rolle, auch die Deutsche Bahn hielt einen Vortrag, der sich mit dem Training von Mitarbeitern in einer virtuellen Umgebung befasste. Autonome Züge spielten jedenfalls keine Rolle, auch wenn in... [mehr]

Bitcoin droht der Hard Fork – Ethereum weiter auf niedrigem Kurs

Logo von IMAGES/STORIES/2017/ETHEREUM

Bereits in der vergangenen Woche deuteten sich einige Änderungen bei den Kryptowährungen an. Nach einem wochenlangen Hoch brach der Kurs des Ether auf weit unter 200 US-Dollar ein. Die Gründe dafür sind nicht immer ersichtlich. Oftmals gibt es auch Wechselwirkungen zwischen den einzelnen... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

Apple Pay weiterhin nicht in Deutschland vorgesehen

Logo von IMAGES/STORIES/2017/APPLE_PAY

Apple Pay ist das drahtlose Bezahlsystem des iPhone-, iPad- und Mac-Herstellers, welches am 20. Oktober 2014 startet, bisher aber noch immer nicht den Weg nach Deutschland gefunden hat. Inzwischen hat Apple für viele Nachbarländer Apple Pay bereits eingeführt, Deutschland aber ist nach wie vor... [mehr]

Epyc und Vega: AMD packt ein PFLOP pro Sekunde in ein Serverrack

Logo von IMAGES/STORIES/2017/AMD-PROJECT47

AMD hat mit den Eypc-Serverprozessoren und Radeon-Instinct-GPU-Beschleunigern zwei sicherlich potente Hardwarekomponenten vorgestellt, die teilweise auch schon im Handel verfügbar sind oder in den kommenden Wochen und Monaten auf den Markt kommen werden. Mit den Epyc-Prozessoren greift AMD den... [mehr]