> > > > Diginotar-Hack: Noch mehr Fälschungen, Niederlande übernimmt Kontrolle

Diginotar-Hack: Noch mehr Fälschungen, Niederlande übernimmt Kontrolle

Veröffentlicht am: von

hardwareluxx_news_newDie nach dem Einbruch bei der niederländischen Zertifizierungstelle DigiNotar kommen immer neue bedenkliche Details über das Ausmaß des Angriffs ans Licht. Während zu Beginn lediglich klar war, dass zumindest ein gefälschtes Zertifikat für Google-Subdomains aktiv und im Umlauf war, stieg deren Zahl zunächst auf rund 250 und ist nun bei über 500 angelangt. Die Angreifer konnten sich offenbar für zahlreiche relevante Seiten und Dienste SSL-Zertifikate ausstellen, ohne dass DigiNotar nach Entdeckung des Einbruchs darüber informierte. Mittlerweile haben auch die Niederlande dem Zertifizierer das Vertrauen entzogen und aktuell sogar die Kontrolle über das Unternehmen übernommen.

Davon betroffen sind unter anderem offizielle Service-Seiten, gegenüber der sich die niderländische Bevölkerung mit einer Bürger-ID authentifizieren kann. Bis ein neues SSL-Zertifikat von einer anderen Firma ausgestellt worden ist, werden Nutzer gewarnt, dass die Seite unsicher ist. Bisher stellte DigiNotar zum einen für offizielle Webseiten die SSL-Zertifikate zur Verfügung, zum anderen erstellten die niederländischen Behörden Zertifikate im eigenen Namen über DigiNotar. Diese wurden für das "PKIoverheid"-System genutzt, bei der die Bürger eine qualifizierte Signatur erhalten, um sich im Netz rechtsicher gegenüber Dienstleistern und Behörden authentifizieren zu können. Zum anderen wurden die entsprechenden Gegenstellen bei den Behörde mit Zertifikaten von DigiNotar ausgestattet. Bislang hies es, die Angreifer hätte nur auf die Infrastruktur für die SSL-Zertifikate Zugriff gehabt, nicht aber auf die für die PKI. Offenbar hat man kein Vertrauen mehr, dass dies auch so bleibt und hat die Kontrolle über die Zertifizierung übernommen. Besonders bedenklich ist die Tatsache, dass die Behörden nicht etwa ursprünglich durch den angegriffenen Herausgeber der Zertifikate informiert wurde, sondern von einer iranischen Quelle.

Auch sonst wird die Informationspolitik von DigiNotar und der Mutterfirma VASCO heftig kritisiert, die sich lediglich auf ein knappes Statement und die Aussage beschränkt und einer Anleitung, wie man dem Root-Zertifikat wieder vertraut. Eine Woche nach dem das gefälschte Zertifikat für Google aufgefallen war, sind über die niederländische Regierung und das Tor-Projekt eine Liste von 531 betroffenen Domains bekannt geworden.

So hat sich der Angreifer Zertifikate für die Webseiten von Geheimdiensten wie CIA, MI6 und Mossad ausgestellt. Auch für Microsoft, Windows Update, Twitter, Facebook, Mozilla und die Tor-Project-Seite hatte man Zertifikate angelegt. Über weitere Einträge hat man sich ebenso als Zwischenstelle für andere Zertifizierungsstellen ausgegeben, um unabhängig weitere SSL-Zertifikate ausstellen zu können. Zwar dürfte kaum eine der Fälschungen zum Einsatz gekommen sein und die meisten von DigiNotar rechtzeitig für ungültig erklärt worden sein. Doch durch die Natur der meisten Browser, auch SSL-Zertifikate anzuerkennen, falls man keine Verbindung zu den Listen mit ungültigen und zurückgezogenen Exemplaren herstellen kann, ist ein Gefährdungspotential gegeben. Während Google in Chrome alle gefährlichen Zertifikate zwecks Sperrung in den Quellcode aufgenommen hat, hat Mozilla dauerhaft DigiNotar aus der Liste der vertrauenswürdigen Herausgeber per Update entfernt.

Die Hinweise, dass der Iran oder ein iranischer Hacker hinter dem Angriff stecken könnten, verdichtet sich hingegen weiter. Zunächst fiel der das gefälschte Zertifikat für Google Mail iranischen Nutzern auf. Zudem taucht in der Liste der gefälschten Zertifikate eine Seite mit persischen Namen auf, die übersetzt "great cracker" heißen würde und das auf einen Inhaber ausgestellt wurde, der übersetzt "I will crack all encryption" heißen würde. Die angegriffenen Seiten suggerieren auch ein Muster, dass zum einem Verschlüsselungssoftware wie Tor angreift, ebenso wie Kommunikationsdienste im Ausland und Dienste, die per Update die Zertifikate unschädlich machen könnten. Offiziell plant der Iran zwar ein eigenes abgeschottetes Netz, welches angeblich den religiösen Vorgaben genüge tun soll, andererseits scheint man aber auch zu versuchen die verschlüsselte Kommunikation auf ausländischen Servern anzugreifen, um die eigene Bevölkerung zu überwachen.

Weiterführende Links:

Social Links

Kommentare (6)

#1
Registriert seit: 13.09.2008
Oben uff'm Speischer
Kapitän zur See
Beiträge: 3073
Das ist natürlich bitter für ein Unternehmen, wenn man vom Staat quasi aus der eigenen Firma rausgeschmissen wird... :fresse:

Aber irgendwie sind sie selber Schuld, weil sie den Vorfall verschwiegen und damit ihre Vertrauenswürdigkeit verloren haben.
#2
customavatars/avatar32076_1.gif
Registriert seit: 26.12.2005
Ruhrpott
Kapitän zur See
Beiträge: 3827
Unter den Teppich kehren und hoffen, dass die ganze Wahrheit nie an die Öffentlichkeit gelangt. So geht man heutzutage am besten vor. ;)
#3
customavatars/avatar139148_1.gif
Registriert seit: 19.08.2010

Bootsmann
Beiträge: 736
Da hilft nurnoch: Bomb bomb bomb, bomb bomb Iran - YouTube :fresse:
#4
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Nein, denn auch wenn der Angriff von dort ausgegangen sein sollte, das Problem ist die angreifbare Infrastruktur bei so elementaren Dingen. Früher oder später hätten es genauso andere machen können und wer weiß wer sich da bisher schon alles bedient hat. Hätte man nicht plump hunderte Zertifikate ausgestellt, wer weiß ob es überhaupt aufgefallen wäre.

Es ist genau das was eben z.b. elektronischen Personalausweis, Gesundheitskarten und anderen eigentlich durchaus sinnvollen Vorhaben immer wieder das Genick brechen wird. Diese Sorglosigkeit lässt riesige Lücken offen und das schürt zu recht das Misstrauen, wer auf welche Daten Zugriff erlangen kann. Und wie gesagt, dass das ganze noch unter den Teppich gekehrt wird, nach dem man kolossal versagt hat.

Diesmal ist es vielleicht wirklich noch der Iran, aber andere Daten wecken andere Begehrlichkeiten. Ich bin kein Fan von Verschwörungstheorien, ich will nicht spekulieren, wer woran Interesse hat, aber alleine die Möglichkeit ist das Problem. Da helfen keine Bomben.
#5
customavatars/avatar139148_1.gif
Registriert seit: 19.08.2010

Bootsmann
Beiträge: 736
Zitat HappyMutant;17489119
Nein, denn auch wenn der Angriff von dort ausgegangen sein sollte, das Problem ist die angreifbare Infrastruktur bei so elementaren Dingen. Früher oder später hätten es genauso andere machen können und wer weiß wer sich da bisher schon alles bedient hat. Hätte man nicht plump hunderte Zertifikate ausgestellt, wer weiß ob es überhaupt aufgefallen wäre.

Es ist genau das was eben z.b. elektronischen Personalausweis, Gesundheitskarten und anderen eigentlich durchaus sinnvollen Vorhaben immer wieder das Genick brechen wird. Diese Sorglosigkeit lässt riesige Lücken offen und das schürt zu recht das Misstrauen, wer auf welche Daten Zugriff erlangen kann. Und wie gesagt, dass das ganze noch unter den Teppich gekehrt wird, nach dem man kolossal versagt hat.

Diesmal ist es vielleicht wirklich noch der Iran, aber andere Daten wecken andere Begehrlichkeiten. Ich bin kein Fan von Verschwörungstheorien, ich will nicht spekulieren, wer woran Interesse hat, aber alleine die Möglichkeit ist das Problem. Da helfen keine Bomben.
War ja auch nur ein Scherz, obwohl ich militärische Reaktionen auf Hacker-Angriffe durchaus für denkbar halte, wenn auch nicht in einem derart "harmlosen" Fall.
Und natürlich sollte man erstmal zusehen, möglicht unangreifbar zu sein, das ist gerade im Bereich Kommunikationstechnologie aber eben kaum möglich. Emails müssen nunmal im Internet sein und staatliche Hacker kommen da früher oder später rein, wenn sie unbedingt wollen.
#6
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Dass das nicht unbedingt ernst gemeint war, ist mir schon klar. Dennoch wollte ich das schon aufgreifen, weil es ja durchaus diese Meinung gibt und eben nicht immer nur im Scherz. ;)

Klar, hundertprozentige Sicherheit gibt es nicht. Aber deswegen muss man halt schauen, was man wo speichert und wie man es dem Angreifer erschwert. Verschlüsselung ist ja ein sinnvolles Mittel, aber auch nur solange die Schlüssel selbst sicher sind. :)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

US Navy wegen Software-Piraterie auf fast 600 Millionen US-Dollar...

Logo von IMAGES/STORIES/LOGOS-2016/US-NAVY

Die US Navy ist von dem deutschen 3D-Softwareentwickler Bitmanagement wegen Software-Piraterie verklagt worden. Wie The Register berichtet, hat Bitmanagement bei dem US Court of Federal Claims Klage eingereicht, und fordert nicht weniger als 596.308.103 US Dollar Schadensersatz. Laut Klageschrift... [mehr]

AMD-Grafikkarten-Hersteller VTX3D verschwindet vom Markt

Logo von VTX3D

Vor allem für AMD-Partner sind schwere Zeiten angebrochen: Während der gesamte PC-Markt mit einer weltweit schwächelnden Nachfrage zu kämpfen hat, haben es die ersten Polaris-Grafikkarten gegen NVIDIAs Pascal-Modelle nicht leicht. Zwar kann die Radeon RX 480 leistungsmäßig durchaus mit der... [mehr]

Amazon Prime Day: Um Mitternacht geht es los

Logo von IMAGES/STORIES/LOGOS-2016/AMAZON_PRIMEDAY

Nach dem großen Erfolg im letzten Jahr legt Amazon den Prime Day auch in Deutschland wieder neu auf. Ab Mitternacht soll es alle fünf Minuten neue Deals geben, ab 6:00 Uhr des morgigen Dienstags sollen stündlich 100 weitere Blitzangebote hinzukommen. Zugriff auf die Angebote aber werden nur... [mehr]

Amazon Prime Day: Interessante Technik-Deals im Überblick (Anzeige)

Logo von IMAGES/STORIES/LOGOS-2016/AMAZON_PRIMEDAY

Wie angekündigt hat der Online-Versandhändler Amazon um Mitternacht den zweiten deutschen Prime Day gestartet. Seitdem hagelt es bei Amazon ein Angebot nach dem anderen. Seit Mitternacht gibt es alle fünf Minuten neue Deals, seit 6:00 Uhr kommen stündlich 100 weitere Blitzangebote hinzu.... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

Amazon Drive mit unbegrenztem Speicherplatz kostet 70 Euro im Jahr

Logo von IMAGES/STORIES/LOGOS-2015/AMAZON

Amazon bietet ab sofort seinen Speicherdienst Drive mit unbegrenztem Speicherplatz für 70 Euro im Jahr an. Dabei kann der Kunde unbegrenzt viele Daten auf den Cloud-Service hochladen und muss auf keine Begrenzung achten. Das Angebot kann laut Amazon für drei Monate kostenlos getestet werden –... [mehr]