1. Hardwareluxx
  2. >
  3. News
  4. >
  5. Allgemein
  6. >
  7. Wirtschaft
  8. >
  9. Falsches SSL-Zertifikat ermöglichte Iran das Ausspionieren von Google-Nutzern (Update)

Falsches SSL-Zertifikat ermöglichte Iran das Ausspionieren von Google-Nutzern (Update)

Veröffentlicht am: von

google100Laut übereinstimmenden Berichten von möglicherweise betroffenen iranischen Usern und Sicherheitsexperten, ist seit mehreren Wochen ein falsches Zertifikat für alle google.com-Domains im Einsatz. Dieses wurde von der niederländischen Firma DigiNotar ausgestellt und angeblich vom Iran zum Ausspionieren von iransichen Google-Mail-Nutzern verwendet worden. DigiNotar gilt in den meisten Browsern bisher als vertrauenswürdige Zertifizierungsstelle (CA) und wird daher auch nicht beanstandet.

Eigentlich sollen verschlüsselte Verbindungen im Netz für mehr Sicherheit sorgen. Zum einen vor Kriminellen, die sensible Daten abfangen wollen, zum andernen aber auch immer mehr zum Schutz der Privatsphäre, die speziell durch staatliche Stellen eingeschränkt werden könnte. Insbesondere in autoritären Regimen gibt es reges Interesse daran, alle Inhalte und eventuell nicht genehme Meinungen zu überwachen. Um sicherzustellen, dass der Server mit dem man sich verschlüsselt verbindet, auch der ist, für den er sich ausgibt, werden üblicherweise Zertifikate verwendet. Ansonsten wäre es über eine sogenannte Man-in-the-Middle-Attacke möglich, sich in die Kommunikation zwischen den beiden Seiten zu hängen und auch die benötigten Schlüssel zum entziffern der Nachricht abzufangen. Entsprechende Zertifikate kann allerdings jeder selbst erstellen, weshalb die Browser eine Liste mit vertrauenswürdigen Zertifizierungsstellen mitliefern, um den User nicht bei jedem Aufruf zu fragen, ob er diesem Zertifikat vertrauen will. Scheint das Zertifikat von einer solchen Stelle zu stammen, wird es grundsätzlich nicht beanstandet und ihm automatich vertraut.

Dies wurde in der aktuellen Attacke Google zum Verhängnis, obwohl die Firma selbst darauf keine Einfluss hatte. Unter noch ungeklärten Umständen hat die CA DigiNotar am 10. Juli ein Zertifikat für *.google.com ausgestellt. Jedoch gelangte nicht Google an das Zertifikat sondern eine bisher nicht bekannte dritte Stelle. Die Electronic Frontier Foundation (EFF) vermutet die iranische Regierung als Auftraggeber. Mit diesem Zertifikat wäre es relativ einfach sich als legitime Google-Seite auszugeben und die gesendeten Daten nicht nur über den eigenen Server zu leiten, sondern auch verschlüsselte Informationen mitzulesen. Aufgefallen ist die Attacke nach mehren Wochen, weil Google mittlerweile in seinem Browser Chrome auch Informationen über die eigenen Zertifikate mitliefert. Stimmen das von Google selbst eingesetzte Zertifikat und das vermeintlich echte Zertifikat der besuchten Seite nicht über ein, schlägt Chrome ab der 13. Ausgabe Alarm. Eine entsprechen Warnung bekam der iranische Nutzer zu sehen, der sich dann bei Google meldete.

Mittlerweile haben die Browser-Hersteller reagiert und entfernen nach und nach die DigiNotar-Zertifikate. Während Microsoft die Zertifikate bei Windows Vista und Windows 7 von seiner Vertrauensliste gestrichen hat, haben Google für Chrome und Mozilla für Firefox, Sea Monkey und Thunderbird entsprechende Updates angekündigt. Windows XP wird von Microsoft ebenso einen Patch erhalten. Die Mozialla Foundation hat zudem eine Anleitung veröffentlicht, wie man das Zertifikat selber entfernen kann. Bereits im März 2011 war der Dienstleister Comodo gehackt wurden und dabei eine Reihe echter Zertifikate unter anderem für Google und Mozillae entwendet worden. Auch hier mussten die Hersteller mit entsprechenden Updates reagieren.

Update 21:19 Uhr:

Wie VASCO, der Mutterkonzern von DigiNotar, in einer Pressemitteilung bekannt geben hat, sollen die falschen Zertifikate während eines Einbruchs in die Zertifizierungsinfratruktur von DigiNotar erstellt worden sein. Dies geschah offenbar nicht nur für Google-Adressen. Als man den Einbruch entdeckte, habe man alle üblichen Regeln und Abläufe eingehalten. Eine externe Sicherheitsprüfung habe zudem ergeben, dass alle falschen Zertifikate zurückgezogen worden sein. Man habe jedoch kürzlich bemerkt, dass mindestens ein falsches Zertifikat - ausgerechnet das für Google -  nicht entdeckt wurde. Erst als die holländische Regierung die Firma darauf aufmerksam machte, hat DigiNotar dieses dann "sofort" zurückgezogen.

Man wolle nun vorerst auf die weitere Ausstellung von SSL-Zertifikaten verzichten, bis man die Infrastruktur gesichert habe und durch externe Unternehmen überprüft habe. Unklar ist, warum dies nicht in ausreichendem Maße nach dem für die SSL-Infrastruktur im Netz gravierenden Einbruch passierte. Man betont in der Meldung dass die anderne Tätigkeiten der Firma von dem Angriff nicht betroffen gewesen seien. Dies betrifft vorallem die Ausstellung von Zertifikaten für "PKIOverheid" in den Niederlanden, eine Public-Key-Infrastruktur unter anderem für elektronische Signaturen. Die vorübergehende Einstellung habe auch keine Auswirkungen auf die Geschäftszahlen. 

Weiterführende Links:

Social Links

Tags

es liegen noch keine Tags vor.

Das könnte Sie auch interessieren:

  • Robert-Koch-Institut: Neues Informations-Dashboard zum Coronavirus

    Logo von IMAGES/STORIES/2017/CORONA-VIRUS

    In der heutigen Pressekonferenz des Robert-Koch-Instituts hat der Präsident Prof. Lothar H. Wieler ein neues Informations-Dashboard zur übersichtlichen Darstellung der Datenlange angekündigt. Dieses Dashboard ist seit heute morgen online und kann unter http://www.esri.de/corona... [mehr]

  • Nach Share-Online ist nun auch Openload vom Netz

    Logo von IMAGES/STORIES/2017/OPENLOAD

    Verletzung von Urheberrechten sind kein Kavalierdelikt und das Verbreiten von geschütztem Material wird zum Teil mit hohen Strafen belegt. In den vergangenen Jahren haben vor allem Filehoster zur Verteilung von urheberrechtlich geschützten Inhalten beigetragen, doch mit Share-Online.biz konnte... [mehr]

  • Erste Verkaufspreise für AMDs nextGen-CPUs und -Mainboards aufgetaucht

    Logo von IMAGES/STORIES/2017/AMD-RYZEN

    Der dänische Online-Versandhändler Komplett.dk nennt knapp drei Wochen vor dem offiziellen Ryzen-3000-Release erste Preise zu AMDs nextGen-Prozessoren und zu X570-Mainboards. In der Vergangenheit wurde sehr viel über die preisliche Ausrichtung für die am 7. Juli 2019 erwarteten Zen-2-CPUs und... [mehr]

  • Bilder zeigen Vernichtung von Retouren im Amazon-Lager in Winsen

    Logo von IMAGES/STORIES/2017/AMAZON

    Seit einigen Monaten tauchen immer wieder Berichte auf, dass große Online-Händler zurückgeschickte Waren vernichten. Dies sei teilweise günstiger als den Zustand zu prüfen und die Produkte wieder zum Verkauf anzubieten. Laut dem neusten Bericht von Greenpeace soll vor allem Amazon große... [mehr]

  • NVIDIA veröffentlicht geheimnisvollen Teaser zur Computex

    Logo von IMAGES/STORIES/2017/NVIDIA

    NVIDIA hat per Social Media auf Twitter und Facebook sowie auf YouTube einen 16-sekündigen Videoclip veröffentlicht, der mit "something super is coming ..." beschrieben ist. Weitere Details verrät das Unternehmen dazu bisher nicht. Das Video zeigt einen in Metall gefrästen... [mehr]

  • Saturn und Mediamarkt feiern "Black Weekend"

    Logo von IMAGES/STORIES/2017/MEDIA_MARKT

    Seit Freitagmorgen ist auch im Mediamarkt bzw. im Saturn das große "Black Weekend" gestartet. Sowohl in den Märkten vor Ort als auch im Onlineshop erwartet die Schnäppchenjäger noch bis Sonntag, den 1. Dezember eine Vielzahl von reduzierten Artikeln.  Im Mediamarkt lässt sich unter... [mehr]