Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Folgen & Konsequenzen des Diginotar-Hacks

Vor ein paar Tagen wurde bekannt, dass ein gefälschtes SSL-Zertifikat für *.google.com im Iran zum Einsatz kam. Das Zertifikat war der CA Diginotar signiert, die per default in so gut wie jedem Browser als “vertrauenswürdig” gilt. Mit dem rogue cert konnte also wunderbar Traffic mitgeschnitten oder manipuliert werden, ohne dass einem ‘normalen’ Nutzer etwas auffällt.

Dazu gekommen war es anscheinend durch einen Hack des Diginotar-Servers im Jahr 2009. Diginotar ist eine niederländische CA, von der zum Beispiel auch die Web-Angebote der Regierung signiert wurden. Wer also aber schon einmal dabei ist, so eine CA zu hacken, der erstellt sich dann natürlich nicht nur ein Zertifikat, sondern direkt auch noch ein paar andere. Zum Beispiel für

*.windowsupdate.com (womit man wunderbar per Update eine Horde Windows-Rechner mit Trojanern ausstatten könnte)
*.torproject.org (womit man manipulierte Tor-Clients an seine Dissidenten verteilen könnte, um ihre Aktivitäten auszuspähen) oder für
secure.logmein.com

Irgendwann wurde es dem Angreifer wohl zu viel Arbeit, und er hat einfach Zertifikate für
*.*.org und
*.*.com
ausgestellt.

Im Moment sind 531 falsche Zertifikate identifiziert (zuletzt signiert im Juli 2011), und die Nachforschungen der niederländischen Regierung noch nicht abgeschlossen. Für die Nutzer bedeutet das, dass unter keinen Umständen jemals mehr diesen root-CAs getraut werden sollte:

DigiNotar Cyber CA
DigiNotar Extended Validation CA
DigiNotar Public CA 2025
DigiNotar Public CA – G2
Koninklijke Notariele Beroepsorganisatie CA
Stichting TTP Infos CA

Diese sollten also manuell entfernt werden, und (ohnehin) Browser und Betriebssystem immer auf aktuellem Stand gehalten werden.

Die niederländische Regierung hat recht schnell reagiert, sicherheitsrelevante Online-Angebote abgeschaltet und die Firma gerügt, die von dem Umstand bereits im Juni 2011 erfahren, aber niemanden informiert hatte. Das muss man sich auf der Zunge zergehen lassen: Aus Sorge um den eigenen Ruf und das Vertrauen, dessen man nicht mehr würdig war, nahm Diginotar den aktiven Missbrauch in Kauf.

Mit Diginotars Krisenmanagement wäre wohl final geklärt, was von einem Sicherheitsmodell zu halten ist, bei dem Institutionen das uneingeschränke Vertrauen der gesamten Welt ausgesprochen und auf Millionen von Rechnern ungefragt installiert wird.

Don't be the product, buy the product!

Schweinderl