> > > > Diginotar-Hack: Noch mehr Fälschungen, Niederlande übernimmt Kontrolle

Diginotar-Hack: Noch mehr Fälschungen, Niederlande übernimmt Kontrolle

Veröffentlicht am: von

hardwareluxx_news_newDie nach dem Einbruch bei der niederländischen Zertifizierungstelle DigiNotar kommen immer neue bedenkliche Details über das Ausmaß des Angriffs ans Licht. Während zu Beginn lediglich klar war, dass zumindest ein gefälschtes Zertifikat für Google-Subdomains aktiv und im Umlauf war, stieg deren Zahl zunächst auf rund 250 und ist nun bei über 500 angelangt. Die Angreifer konnten sich offenbar für zahlreiche relevante Seiten und Dienste SSL-Zertifikate ausstellen, ohne dass DigiNotar nach Entdeckung des Einbruchs darüber informierte. Mittlerweile haben auch die Niederlande dem Zertifizierer das Vertrauen entzogen und aktuell sogar die Kontrolle über das Unternehmen übernommen.

Davon betroffen sind unter anderem offizielle Service-Seiten, gegenüber der sich die niderländische Bevölkerung mit einer Bürger-ID authentifizieren kann. Bis ein neues SSL-Zertifikat von einer anderen Firma ausgestellt worden ist, werden Nutzer gewarnt, dass die Seite unsicher ist. Bisher stellte DigiNotar zum einen für offizielle Webseiten die SSL-Zertifikate zur Verfügung, zum anderen erstellten die niederländischen Behörden Zertifikate im eigenen Namen über DigiNotar. Diese wurden für das "PKIoverheid"-System genutzt, bei der die Bürger eine qualifizierte Signatur erhalten, um sich im Netz rechtsicher gegenüber Dienstleistern und Behörden authentifizieren zu können. Zum anderen wurden die entsprechenden Gegenstellen bei den Behörde mit Zertifikaten von DigiNotar ausgestattet. Bislang hies es, die Angreifer hätte nur auf die Infrastruktur für die SSL-Zertifikate Zugriff gehabt, nicht aber auf die für die PKI. Offenbar hat man kein Vertrauen mehr, dass dies auch so bleibt und hat die Kontrolle über die Zertifizierung übernommen. Besonders bedenklich ist die Tatsache, dass die Behörden nicht etwa ursprünglich durch den angegriffenen Herausgeber der Zertifikate informiert wurde, sondern von einer iranischen Quelle.

Auch sonst wird die Informationspolitik von DigiNotar und der Mutterfirma VASCO heftig kritisiert, die sich lediglich auf ein knappes Statement und die Aussage beschränkt und einer Anleitung, wie man dem Root-Zertifikat wieder vertraut. Eine Woche nach dem das gefälschte Zertifikat für Google aufgefallen war, sind über die niederländische Regierung und das Tor-Projekt eine Liste von 531 betroffenen Domains bekannt geworden.

So hat sich der Angreifer Zertifikate für die Webseiten von Geheimdiensten wie CIA, MI6 und Mossad ausgestellt. Auch für Microsoft, Windows Update, Twitter, Facebook, Mozilla und die Tor-Project-Seite hatte man Zertifikate angelegt. Über weitere Einträge hat man sich ebenso als Zwischenstelle für andere Zertifizierungsstellen ausgegeben, um unabhängig weitere SSL-Zertifikate ausstellen zu können. Zwar dürfte kaum eine der Fälschungen zum Einsatz gekommen sein und die meisten von DigiNotar rechtzeitig für ungültig erklärt worden sein. Doch durch die Natur der meisten Browser, auch SSL-Zertifikate anzuerkennen, falls man keine Verbindung zu den Listen mit ungültigen und zurückgezogenen Exemplaren herstellen kann, ist ein Gefährdungspotential gegeben. Während Google in Chrome alle gefährlichen Zertifikate zwecks Sperrung in den Quellcode aufgenommen hat, hat Mozilla dauerhaft DigiNotar aus der Liste der vertrauenswürdigen Herausgeber per Update entfernt.

Die Hinweise, dass der Iran oder ein iranischer Hacker hinter dem Angriff stecken könnten, verdichtet sich hingegen weiter. Zunächst fiel der das gefälschte Zertifikat für Google Mail iranischen Nutzern auf. Zudem taucht in der Liste der gefälschten Zertifikate eine Seite mit persischen Namen auf, die übersetzt "great cracker" heißen würde und das auf einen Inhaber ausgestellt wurde, der übersetzt "I will crack all encryption" heißen würde. Die angegriffenen Seiten suggerieren auch ein Muster, dass zum einem Verschlüsselungssoftware wie Tor angreift, ebenso wie Kommunikationsdienste im Ausland und Dienste, die per Update die Zertifikate unschädlich machen könnten. Offiziell plant der Iran zwar ein eigenes abgeschottetes Netz, welches angeblich den religiösen Vorgaben genüge tun soll, andererseits scheint man aber auch zu versuchen die verschlüsselte Kommunikation auf ausländischen Servern anzugreifen, um die eigene Bevölkerung zu überwachen.

Weiterführende Links:

Social Links

Kommentare (6)

#1
Registriert seit: 13.09.2008
Oben uff'm Speischer
Kapitän zur See
Beiträge: 3079
Das ist natürlich bitter für ein Unternehmen, wenn man vom Staat quasi aus der eigenen Firma rausgeschmissen wird... :fresse:

Aber irgendwie sind sie selber Schuld, weil sie den Vorfall verschwiegen und damit ihre Vertrauenswürdigkeit verloren haben.
#2
customavatars/avatar32076_1.gif
Registriert seit: 26.12.2005
Ruhrpott
Kapitän zur See
Beiträge: 3827
Unter den Teppich kehren und hoffen, dass die ganze Wahrheit nie an die Öffentlichkeit gelangt. So geht man heutzutage am besten vor. ;)
#3
customavatars/avatar139148_1.gif
Registriert seit: 19.08.2010

Bootsmann
Beiträge: 736
Da hilft nurnoch: Bomb bomb bomb, bomb bomb Iran - YouTube :fresse:
#4
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Nein, denn auch wenn der Angriff von dort ausgegangen sein sollte, das Problem ist die angreifbare Infrastruktur bei so elementaren Dingen. Früher oder später hätten es genauso andere machen können und wer weiß wer sich da bisher schon alles bedient hat. Hätte man nicht plump hunderte Zertifikate ausgestellt, wer weiß ob es überhaupt aufgefallen wäre.

Es ist genau das was eben z.b. elektronischen Personalausweis, Gesundheitskarten und anderen eigentlich durchaus sinnvollen Vorhaben immer wieder das Genick brechen wird. Diese Sorglosigkeit lässt riesige Lücken offen und das schürt zu recht das Misstrauen, wer auf welche Daten Zugriff erlangen kann. Und wie gesagt, dass das ganze noch unter den Teppich gekehrt wird, nach dem man kolossal versagt hat.

Diesmal ist es vielleicht wirklich noch der Iran, aber andere Daten wecken andere Begehrlichkeiten. Ich bin kein Fan von Verschwörungstheorien, ich will nicht spekulieren, wer woran Interesse hat, aber alleine die Möglichkeit ist das Problem. Da helfen keine Bomben.
#5
customavatars/avatar139148_1.gif
Registriert seit: 19.08.2010

Bootsmann
Beiträge: 736
Zitat HappyMutant;17489119
Nein, denn auch wenn der Angriff von dort ausgegangen sein sollte, das Problem ist die angreifbare Infrastruktur bei so elementaren Dingen. Früher oder später hätten es genauso andere machen können und wer weiß wer sich da bisher schon alles bedient hat. Hätte man nicht plump hunderte Zertifikate ausgestellt, wer weiß ob es überhaupt aufgefallen wäre.

Es ist genau das was eben z.b. elektronischen Personalausweis, Gesundheitskarten und anderen eigentlich durchaus sinnvollen Vorhaben immer wieder das Genick brechen wird. Diese Sorglosigkeit lässt riesige Lücken offen und das schürt zu recht das Misstrauen, wer auf welche Daten Zugriff erlangen kann. Und wie gesagt, dass das ganze noch unter den Teppich gekehrt wird, nach dem man kolossal versagt hat.

Diesmal ist es vielleicht wirklich noch der Iran, aber andere Daten wecken andere Begehrlichkeiten. Ich bin kein Fan von Verschwörungstheorien, ich will nicht spekulieren, wer woran Interesse hat, aber alleine die Möglichkeit ist das Problem. Da helfen keine Bomben.
War ja auch nur ein Scherz, obwohl ich militärische Reaktionen auf Hacker-Angriffe durchaus für denkbar halte, wenn auch nicht in einem derart "harmlosen" Fall.
Und natürlich sollte man erstmal zusehen, möglicht unangreifbar zu sein, das ist gerade im Bereich Kommunikationstechnologie aber eben kaum möglich. Emails müssen nunmal im Internet sein und staatliche Hacker kommen da früher oder später rein, wenn sie unbedingt wollen.
#6
customavatars/avatar66663_1.gif
Registriert seit: 23.06.2007

Oberstabsgefreiter
Beiträge: 465
Dass das nicht unbedingt ernst gemeint war, ist mir schon klar. Dennoch wollte ich das schon aufgreifen, weil es ja durchaus diese Meinung gibt und eben nicht immer nur im Scherz. ;)

Klar, hundertprozentige Sicherheit gibt es nicht. Aber deswegen muss man halt schauen, was man wo speichert und wie man es dem Angreifer erschwert. Verschlüsselung ist ja ein sinnvolles Mittel, aber auch nur solange die Schlüssel selbst sicher sind. :)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

AMD-Grafikkarten-Hersteller VTX3D verschwindet vom Markt

Logo von VTX3D

Vor allem für AMD-Partner sind schwere Zeiten angebrochen: Während der gesamte PC-Markt mit einer weltweit schwächelnden Nachfrage zu kämpfen hat, haben es die ersten Polaris-Grafikkarten gegen NVIDIAs Pascal-Modelle nicht leicht. Zwar kann die Radeon RX 480 leistungsmäßig durchaus mit der... [mehr]

Lohnt das Mining für den Privatanwender noch?

Logo von IMAGES/STORIES/2017/ETHEREUM

Bestimmte Grafikkartenmodelle sind schlecht verfügbar und einige Hersteller präsentieren sogar spezielle Mining-Modelle – bestes Anzeichen dafür, dass eine neue Mining-Welle anrollt. Ethereum basiert wie Bitcoins auf einer Blockchain-Technologie. Ethereum ist aber keine reine Kryptowährung,... [mehr]

Bitcoin droht der Hard Fork – Ethereum weiter auf niedrigem Kurs

Logo von IMAGES/STORIES/2017/ETHEREUM

Bereits in der vergangenen Woche deuteten sich einige Änderungen bei den Kryptowährungen an. Nach einem wochenlangen Hoch brach der Kurs des Ether auf weit unter 200 US-Dollar ein. Die Gründe dafür sind nicht immer ersichtlich. Oftmals gibt es auch Wechselwirkungen zwischen den einzelnen... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

O2: Wer bei der Hotline nicht anruft, wird mit Datenvolumen belohnt (Update)

Logo von IMAGES/STORIES/2017/O2_LOGO

O2 war in den letzten Monaten aufgrund seiner schlecht erreichbaren Hotline immer wieder in der Kritik. Kunden mussten teilweise stundenlang in der Warteschleife warten, bis sich am anderen Ende der Leitung ein Mitarbeiter meldete. Dies ist einerseits darauf zurückzuführen, dass die Kapazitäten... [mehr]

Amazon Drive mit unbegrenztem Speicherplatz kostet 70 Euro im Jahr

Logo von IMAGES/STORIES/LOGOS-2015/AMAZON

Amazon bietet ab sofort seinen Speicherdienst Drive mit unbegrenztem Speicherplatz für 70 Euro im Jahr an. Dabei kann der Kunde unbegrenzt viele Daten auf den Cloud-Service hochladen und muss auf keine Begrenzung achten. Das Angebot kann laut Amazon für drei Monate kostenlos getestet werden –... [mehr]